User name Password Remember Me?

SWZ »S W Z O N E F O R U M > Discussioni software > Sicurezza » Guida ai Tools di rimozione Malware

Sicurezza Problematiche e discussioni legate alla sicurezza in rete.

Supporta SWZ con una Donazione
Obiettivo per questo mese: 450 EUR, Raggiunto: 0 EUR (0%)
Dona Ora !

Chiudi la discussione
 
Strumenti della discussione Cerca in questa discussione Modalità  di visualizzazione
Vecchio 01-04-2009, 20.31.49   #1
SWZone Staff - Moderatore
 
L'avatar di bonovox767
 
Data di registrazione: 20-04-2004
Ubicazione: ...in_Rainbows
Messaggi: 16.666
Guida ai Tools di rimozione Malware


PARTE PRIMA - WINDOWS

ATTENZIONE: Nel caso abbiate intenzione di chiedere consiglio nel forum, allegando il .log di report dei tools che analizzeremo in seguito, si ricorda che questi vanno sempre e solo allegati come descritto --> QUI <--

Capita spesso di trovarsi ad avere a che fare con infezioni che il nostro antivirus di fiducia non riesce a debellare e non è sempre colpa del programma se non ha bloccato l’infezione, visto che il database dell’AV potrebbe non essere aggiornato, o che nonostante i suoi avvisi, abbiamo voluto provare lo stesso quel programma che ci piaceva tanto, scaricato dalla rete o da una mail.

Da sempre si dice che il primo antivirus sta tra il monitor e la sedia, per cui nel vostro Pc abbiate cura di:
  • Installare un --> ANTIVIRUS <--
  • NON INSTALLARE MAI più di un antivirus in Realtime.
    Non sarete più protetti, ma al contrario renderete il vostro sistema potenzialmente instabile.
  • Installare un --> FIREWALL <--
  • Usare periodicamente un --> ANTISPYWARE <--
  • Aggiornare sempre il proprio antivirus
  • Tenere sempre il proprio sistema operativo aggiornato
  • Scaricare materiale solo da fonti attendibili
  • Aprire allegati contenuti nelle mail e/o messaggistica istantanea solo se provenienti da fonte sicura

Se nonostante questo, avete lo stesso qualche ospite indesiderato, vi potranno essere utili degli strumenti specifici di rimozione.

Prima di descrivervi i tools, vediamo come effettuare in Windows certe azioni che potrebbero essere necessarie prima di procedere alle disinfezioni.

ATTIVARE/DISATTIVARE IL RIPRISTINO DI CONFIGURAZIONE DI SISTEMA

Determinati tipi di virus riescono ad infettare i punti di ripristino, con la conseguenza, che anche se rimossi, si riproducono in seguito a ripristini dove sono ancora presenti.
Si può perciò rendere necessario, una volta ripulito il Pc dall'infezione, disattivare l’utilità di ripristino cancellando così i punti creati fino a quel momento, per poi ripristinarla sulla partizione di sistema.
Ricordo che sarebbe buona norma abilitare il ripristino di configurazione solo sulla partizione di sistema, che è in genere la C.

Attivare/Disattivare il ripristino di configurazione di sistema in Windows XP
http://support.microsoft.com/kb/310405/it

Attivare/Disattivare il ripristino di configurazione di sistema in Windows VISTA
http://windowshelp.microsoft.com/Win...4d1040.mspx#E3

ABILITARE LA VISUALIZZAZIONE DEI FILES NASCOSTI

Nel caso di rimozioni manuali, potreste avere necessità di accedere ai percorsi di files nascosti.
Ecco come visualizzarli in Xp :
  1. Andate in Start-->Pannello di controllo-->Opzioni di cartella
  2. Ora cliccate sulla scheda Visualizzazione
  3. In Impostazioni Avanzate cercate la casella Visualizza cartelle e file nascosti e metteteci la spunta
  4. Cliccate su Applica e poi su Ok
  5. Per eventualmente nasconderli successivamente, mettete la spunta alla casella Non visualizzare cartelle e file nascosti

e in Vista:
  1. Andate in Start -->Computer
  2. Premete ora il tasto ALT per la visualizzazione della Barra dei Menu
  3. Cliccate su Strumenti --> Opzioni cartella --> TabVisualizzazione
  4. Mettete il segno di spunta su Visualizza cartelle e file nascosti

AVVIARE WINDOWS IN MODALITA’ PROVVISORIA

In determinate frangenti potrebbe essere richiesto di utilizzare i tools di rimozione in modalità provvisoria.
Per fare questo basta riavviare il Pc e premere ripetutamente il tasto f8 nella fase di riavvio (la schermata nera con i caratteri bianchi)

Modalità provvisoria in Windows XP
http://support.microsoft.com/kb/316434/it#3

Modalità provvisoria in Windows Vista
http://windowshelp.microsoft.com/Win...904a11040.mspx

RIPRISTINARE LA MODALITA’ PROVVISORIA, TASK MANAGER, REGEDIT IN WINDOWS

Compatibilità: Windows Vista/Xp
Scarica l'Utility di Suspectfile:
http://www.suspectfile.com/download/utility.zip

Certi virus hanno la simpatica caratteristica di disattivare la modalità provvisoria, il ripristino di configurazione, il centro sicurezza, task manager, regedit ed altro.
Questa Utility di Suspectfile, segnalataci dal nostro più che competente utente Luke57, ci viene in aiuto ripristinando le funzionalità disattivate.

Si raccomanda di eseguire i ripristini strettamente necessari.
Dopo aver apportato le modifiche, è preferibile riavviare il Sistema Operativo.
Nella lista viene riportata la compatibilità di ogni singola azione con il Sistema Operativo.
  1. Disclaimer
  2. Abilita task manager e regedit (XP/Vista)
  3. Imposta "AppInit_DLLs" = "" (XP/Vista)
  4. Imposta "Shell" = "Explorer.exe" (XP/Vista)
  5. Ripristina Wireless (XP/Vista)
  6. Abilita Firewall e notifiche (XP)
  7. Abilita Firewall e notifiche (Vista)
  8. Abilita notifiche del Centro Sicurezza Windows (XP)
  9. Abilita notifiche del Centro Sicurezza Windows (Vista)
  10. Hidden file: Hidden, ShowSuperHidden, CheckedValue (XP/Vista)
  11. Ripristina chiave "Hidden" (XP/Vista)
  12. Ripristina SafeBoot (Modalità provvisoria) (XP)
  13. Abilita Opzioni Cartella (XP/Vista)
  14. Abilita SystemRestore (Ripristino di Configurazione) (XP)
  15. Abilita barra degli strumenti Internet Explorer (XP/Vista)
  16. Abilita servizio "Aggiornamenti Automatici" (Wuauserv e BITS - XP/Vista)
  17. Abilita servizio "Registro Eventi" (Eventlog - XP/Vista)
  18. Abilita servizio "Centro sicurezza PC" (Wscsvc - XP/Vista)
  19. Abilita "UAC" (Vista)
  20. Imposta "EnableDCOM" = "Y" (XP/Vista)
  21. Rimuovi Prefetch, Recent e Cookies (XP/Vista)

PREVENZIONE: BLOCCARE PARASSITI NON VOLUTI MODIFICANDO IL FILE HOSTS
Per proteggere maggiormente il pc da parassiti vari, quali i doubleclick che nella migliore delle ipotesi comunicano a qualcuno le vostre preferenze nella navigazione e nella peggiore aprono un'autostrada per i trojan che desiderano andare in vacanza sul vostro harddisk, si può modificare il file hosts.
Questa guida del nostro carissimo Giofi83 vi spiega come fare:

--> Bloccare parassiti non voluti modificando il file hosts <--

Ultima modifica di bonovox767 : 07-09-2009 16.08.38
bonovox767 non è collegato  
Vecchio 01-04-2009, 20.34.29   #2
SWZone Staff - Moderatore
 
L'avatar di bonovox767
 
Data di registrazione: 20-04-2004
Ubicazione: ...in_Rainbows
Messaggi: 16.666

PARTE SECONDA - I TOOLS DI RIMOZIONE

TOOLS DI RIMOZIONE

Vediamo ora I tools più efficaci per rimuovere dal vostro Pc quelle infezioni particolarmente difficili da rimuovere con gli strumenti normali.
Li ordiniamo alfabeticamente, e non per importanza.

THE AVENGER
Compatibilità: Windows Vista/Xp/2000 (solo 32-bit)
Scarica The Avenger:
http://swandog46.geekstogo.com/avenger2/download.php

Guida a The Avenger (in inglese):
Swandog46's Public Anti-Malware Tools

Questo programmino creato da swandog46 riesce ad eliminare ciò che normalmente non lo sarebbe, in quanto si avvia prima di qualsiasi applicazione, comprese quelle lanciate da malware.
Utilissimo quindi per eliminare chiavi di registro maligne, rootkit et similia.
Il rovescio della medaglia è però che non esegue pulizie in modo automatico, ma deve essere istruito dall’utente. La cosa migliore perciò è affidarsi ai consigli di persone che sappiano guidarvi nella compilazione dello script, a meno che non siate abbastanza esperti.

COMBOFIX
Compatibilità: Windows Vista/Xp/2000

Scarica Combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Guida a Combofix (in italiano):
Una guida ed un tutorial sull' utilizzo di ComboFix

ComboFix è un programma creato da sUBs che scansiona il computer alla ricerca di malware conosciuto e, se trovato, cerca di rimuoverlo automaticamente.
Oltre ad essere in grado di rimuovere molti delle più frequenti ed attuali infezioni, ComboFix produce un log contenente diverse informazioni che un esperto può utilizzare per rimuovere il malware non automaticamente eliminato dal programma.
  • Scaricate e salvate Combofix sul desktop
  • Chiudere tutte le finestre e programmi in esecuzione.
  • Disconnettetevi dalla rete.
  • Chiudete o disabilitate le protezioni in tempo reale di Antivirus, Antispyware e Firewall.
  • Cliccate sulla tastiera il Tasto Windows (quello con la bandierina) più il tasto R
  • Nella finestra che si apre incollate o digitate la seguente stringa:
    "%userprofile%\desktop\combofix.exe" /killall
  • Date Ok, e rispondete NO alla domanda eventuale di installazione della consolle di ripristino.
  • Non fate assolutamente nulla durante la scansione, che può durare anche diversi minuti.
A scansione ultimata il Pc si riavvìerà per completare la rimozione, e verrà creato un report, che potrete eventualmente allegare nel forum per interpretarlo, come indicato --> QUI <--

Una volta eseguita la rimozione, dovrete eliminare l’eseguibile del programma e la cartella di Backup di Combofix, che contiene le infezioni, presente in C:\qoobox e svuotare il cestino.

HIJACKTHIS
Compatibilità: Windows Vista/Xp/2000

Scarica Hijackthis:
HijackThis - Trend Micro USA

Guida a Hijackthis (in italiano):
Guida all'uso di HijackThis

Hijackthis è un programma standalone che ci consente di rilevare e correggere (fissare) la presenza di Spyware, malware, hijacker e quant'altro.

Per usarlo fate riferimento alla guida ufficiale del forum che trovate nel link messo sopra.

GMER
Compatibilità: Windows Vista/Xp/2000/NT

Scarica GMER:
GMER - Rootkit Detector and Remover

Guida a GMER (in inglese):
GMER - Rootkit Detector and Remover

Programma ottimo Standalone (ovvero che non necessita di installazione) per la rimozione di malware e rootkit.
  • Scaricate il programma sul desktop e decomprimetelo.
  • Avviate ora il file gmer.exe e lasciate che esegua una scansione completa del sistema, che potrà essere anche lunga.
  • Se un’eventuale infezione non vi consente l’avvio di Gmer, rinominate il file gmer.exe in test.exe
  • Alla fine avrete un report che vi elencherà tutte le voci trovate, evidenziando in rosso quelle considerate maligne.
  • L’eliminazione dei files incriminati avviene tramite tasto destro sulla chiave e scelta dell’opzione “Delete the service”
Fate attenzione che potrebbero essere riportate in rosso anche alcune voci legittime.
Meglio quindi chiedere consiglio ad un utente più esperto su cosa eliminare.



LOP S&D
Compatibilità: Windows Xp/Vista

Scarica LOP S&D:
http://eric.71.mespages.googlepages.com/LopSD.exe

Questo tool si occupa di eliminare le fastidiose pagine indesiderate del tipo PopUp CID.
L’utilizzo è davvero semplice.
  • Scaricate il tool sul vostro desktop e fate doppio click su di esso.
  • Scegliete la lingua (Inglese, visto che l’italiano non non è presente)
  • Scegliete la voce n°1 – Search (tasto 1 della vostra tastiera) e date Invio
  • Lasciate che il tool termini la scansione e visionate il report creato in C:\lopR.txt, allegandolo eventualmente nel forum come spiegato --> QUI <--
  • Lanciate nuovamente il tool e scegliete ora la voce n°2 - Fix+Host (tasto 2 della vostra tastiera) e date INVIO
Verrà avviata la rimozione delle voci maligne, di durata variabile a seconda del grado di infezione.

NAVILOG
Compatibilità: Windows Vista/Xp/2000

Scarica NAVILOG:
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Questo tool creato da “Il mafioso” è in grado di rilevare e rimuovere molte infezioni, dai malware ai rootkit, in modo del tutto automatico. L’utilizzo è simile a LOP S&D
  • Scaricate il tool sul vostro desktop e fate doppio click su di esso.
  • Installetelo e rispondete sì alla creazione di un’icona sul desktop.
  • Chiudete tutte le applicazioni in uso e lanciate il programma
  • Scegliete la lingua (Inglese, visto che l’italiano non non è presente)
  • Dovrete premere diverse volte Invio prima di arrivare alla scelta di azione.
  • Scegliete la voce n°1 – Search (tasto 1 della vostra tastiera) e date INVIO
  • Il tool scansionerà il vostro Pc e verrà avviata la rimozione automatica delle voci maligne, di durata variabile a seconda del grado di infezione., creando un report sulle azioni svolte.
    Visionate il report creato in C:\fixnavi.txt, allegandolo eventualmente nel forum come spiegato --> QUI <--

SDFIX
Compatibilità: Windows Vista/Xp/2000

Scarica SDFIX:
http://downloads.andymanchesta.com/R...ools/SDFix.exe
  • Scaricate il file sul desktop e fate doppio click su SDFix.exe per lanciare l'installazione
  • Cliccate su Install
  • Finita l'installazione riavviate il sistema in modalità provvisoria (leggete le spiegazioni ad inizio post, se non sapete come si fa)
  • Una volta in modalità provvisoria doppio click sul file RunThis.bat
  • Cliccate su Y e date INVIO per lanciare la pulizia.

Al riavvio SDFix porterà a termine la procedura e visualizzerà un messaggio nel quale indica la fine della pulizia e l'opzione per visualizzare il log.
Riavviate in modalita' normale ed allegate eventualmente nel forum il log di SDFix, come spiegato --> QUI <--

FINDYKILL
Compatibilità: Windows Vista/Xp/2000

Scarica FINDYKILL:
http://www.commentcamarche.net/telec...6196-findykill

Se non siete riuscite in nessun modo a liberarvi del virus Bagle, l’ultima risorsa è FindyKill.
FindyKill è un programma in francese, ma comunque intuitivo, che si occupa di rimuovere dal vostro Pc e dalle vostre periferiche, come PenDrive, il virus Bagle, perciò se pensate che l’infezione provenga o si sia estesa a qualche supporto rimovibile, abbiate cura di collegarlo al vostro Pc, prima di procedere alla ricerca e rimozione di Bagle.

Installazione del tool
  • Scaricate il file sul desktop e fate doppio click sull’eseguibile.
  • Premete Suivant, accettate le condizioni d'uso e selezionate Je suis d'accord avec les terme et conditions ci-dessus, premete quindi di nuovo Suivant.
  • Scegliete la cartella d'installazione e premete ancora Suivant e confermate le scelte premendo Oui.
  • Concludete l'installazione premendo Démarrer e poi Quitter.

Uso del tool
  • Ora avviate il programma e scegliete l'opzione “1 - Recherche des fichiers infectieux” per far partire la ricerca dei file infetti.
  • Verra' creato un report della scansione in C: \FindyKill.txt.
  • Proseguite scegliendo l'opzione 2 -“Suppression des fichiers infectieux” per la rimozione di cio' che e' stato trovato infetto.
  • Lasciate che il tool faccia il suo lavoro, e non stuoitevi se si riavvierà eventualmente il vostro Pc.
  • Dopo il riavvio attendete che FindyKill concluda una serie di operazioni che svolge in automatico e che compaia il messaggio: Nettoyage effectue!

Ultima modifica di dubo : 11-01-2010 23.11.01 Motivo: Modifica Link Findykill
bonovox767 non è collegato  
Vecchio 01-04-2009, 20.35.53   #3
SWZone Staff - Moderatore
 
L'avatar di bonovox767
 
Data di registrazione: 20-04-2004
Ubicazione: ...in_Rainbows
Messaggi: 16.666

PARTE TERZA - LE SCANSIONI ANTIVIRUS ONLINE

SCANSIONI ONLINE

Molte software house produttrici di programmi antivirus consentono di eseguire sul loro sito, in modo del tutto gratuito, delle scansioni online.Di seguito una lista di quelle più famose.

N.B.:Alcune di queste scansioni, come quella di Eset, richiedono l’utilizzo di Internet Explorer.
Verrà richiesta l’installazione di un software, di un componente aggiuntivo o l’abilitazione del controllo degli ActiveX.

Va da sé che non correte nessun rischio dai link messi qui sotto, e che potete accettare senza problemi.
Una volta installato il software ed aggiornato il database delle firme antivirus, inizierà la scansione.

ESET Nod32 - (Richiede Internet Explorer)
http://www.eset.com/onlinescan/

Kaspersky (Scansione completa o di singoli files)
http://www.kaspersky.com/virusscanner

Bitdefender - (Richiede Internet Explorer)
http://www.bitdefender.com/scan8/ie.html

Virustotal - (Scansione di singoli files tramite motore di 38 antivirus - Solo scansione)
http://www.virustotal.com/

Guide utili Antivirus e AntiSpyware

Guida alla Cofigurazione di Avira
Con il consenso dell'autore, Luciano61 pubblichiamo la guida di configurazione ad avira free( gli stessi parametri possono essere applicati alla versione Premium e Security Suite)
Come ottenere il massimo da Avira

Guida all'uso di SUPERAntiSpyware Free Edition
Con il consenso dell'autore, Luciano61 pubblichiamo la guida all'uso di SUPERAntiSpyware Free Edition.
--> LEGGI LA GUIDA <--

Guida a cura di Bonovox767 & Dubo

Ultima modifica di bonovox767 : 02-10-2009 14.10.12
bonovox767 non è collegato  
Chiudi la discussione


Stanno leggendo questa discussione: 1 (0 utenti e 1 visitatori)
 
Strumenti della discussione Cerca in questa discussione
Cerca in questa discussione:

Ricerca avanzata
Modalità  di visualizzazione

Regole di scrittura
Non Puoi aprire discussioni
Non Puoi inviare repliche
Non Puoi inviare allegati
Non Puoi modificare i tuoi posts

BB code è Attivo
smilies è Attivo
[IMG] il codice è Attivo
Il codice HTML è Disattivato
Trackbacks are Attivo
Pingbacks are Attivo
Refbacks are Disattivato