Leonardo.it
  • Registrazione
  • Aiuto
Risultati da 1 a 4 di 4

Discussione: Guida ai Tools di rimozione Malware

  1. 01-04-2009, 20.31.49 #1
    bonovox767
    bonovox767 non è collegato
    SWZone Staff - Moderatore
    Data Registrazione
    20-04-2004
    Località
    ...in_Rainbows
    Messaggi
    20.696

    Guida ai Tools di rimozione Malware





    Per poter vedere questo video hai bisogno di Flash, se devi installarlo segui il link: Installa Flash.

    PARTE PRIMA - WINDOWS

    ATTENZIONE: Nel caso abbiate intenzione di chiedere consiglio nel forum, allegando il .log di report dei tools che analizzeremo in seguito, si ricorda che questi vanno sempre e solo allegati come descritto => QUI <=

    Capita spesso di trovarsi ad avere a che fare con infezioni che il nostro antivirus di fiducia non riesce a debellare e non è sempre colpa del programma se non ha bloccato l’infezione, visto che il database dell’AV potrebbe non essere aggiornato, o che nonostante i suoi avvisi, abbiamo voluto provare lo stesso quel programma che ci piaceva tanto, scaricato dalla rete o da una mail.

    Da sempre si dice che il primo antivirus sta tra il monitor e la sedia, per cui nel vostro Pc abbiate cura di:
    • Installare un => ANTIVIRUS <=
    • NON INSTALLARE MAI più di un antivirus in Realtime.
      Non sarete più protetti, ma al contrario renderete il vostro sistema potenzialmente instabile.
    • Installare un => FIREWALL <=
    • Usare periodicamente un => ANTISPYWARE <=
    • Aggiornare sempre il proprio antivirus
    • Tenere sempre il proprio sistema operativo aggiornato
    • Scaricare materiale solo da fonti attendibili
    • Aprire allegati contenuti nelle mail e/o messaggistica istantanea solo se provenienti da fonte sicura


    Se nonostante questo, avete lo stesso qualche ospite indesiderato, vi potranno essere utili degli strumenti specifici di rimozione.

    Prima di descrivervi i tools, vediamo come effettuare in Windows certe azioni che potrebbero essere necessarie prima di procedere alle disinfezioni.

    ATTIVARE/DISATTIVARE IL RIPRISTINO DI CONFIGURAZIONE DI SISTEMA

    Determinati tipi di virus riescono ad infettare i punti di ripristino, con la conseguenza, che anche se rimossi, si riproducono in seguito a ripristini dove sono ancora presenti.
    Si può perciò rendere necessario, una volta ripulito il Pc dall'infezione, disattivare l’utilità di ripristino cancellando così i punti creati fino a quel momento, per poi ripristinarla sulla partizione di sistema.
    Ricordo che sarebbe buona norma abilitare il ripristino di configurazione solo sulla partizione di sistema, che è in genere la C.

    Attivare/Disattivare il ripristino di configurazione di sistema in Windows XP
    Attivazione e disattivazione di Ripristino configurazione di sistema in Windows XP

    Attivare/Disattivare il ripristino di configurazione di sistema in Windows VISTA
    Attivare o disattivare Ripristino configurazione di sistema

    Attivare/Disattivare il ripristino di configurazione di sistema in Windows 7
    Attivare o disattivare Ripristino configurazione di sistema

    ABILITARE LA VISUALIZZAZIONE DEI FILES NASCOSTI

    Nel caso di rimozioni manuali, potreste avere necessità di accedere ai percorsi di files nascosti.

    Visualizzare file nascosti in Windows Xp :
    1. Andate in Start=>Pannello di controllo=>Opzioni di cartella
    2. Ora cliccate sulla scheda Visualizzazione
    3. In Impostazioni Avanzate cercate la casella Visualizza cartelle e file nascosti e metteteci la spunta
    4. Cliccate su Applica e poi su Ok
    5. Per eventualmente nasconderli successivamente, mettete la spunta alla casella Non visualizzare cartelle e file nascosti


    Visualizzare file nascosti in Windows Vista e 7:
    • Andate su Start=> Pannello di controllo=> Aspetto e personalizzazione=> Opzioni cartella.
    • Fate clic sulla scheda Visualizza.
    • In Impostazioni avanzate fate clic su Visualizza cartelle e file nascosti, quindi fare clic su OK.


    Se si vuole che vengano mostrati anche i file di sistema è necessario deselezionare l’opzione Nascondi i file protetti di sistema.

    AVVIARE WINDOWS IN MODALITA’ PROVVISORIA

    In determinate frangenti potrebbe essere richiesto di utilizzare i tools di rimozione in modalità provvisoria.
    Per fare questo basta riavviare il Pc e premere ripetutamente il tasto f8 nella fase di riavvio (la schermata nera con i caratteri bianchi)

    Modalità provvisoria in Windows XP
    Risoluzione avanzata dei problemi mediante l'avvio parziale in Windows XP

    Modalità provvisoria in Windows Vista
    Avviare il computer in modalit&#224; provvisoria

    Modalità provvisoria in Windows 7
    Avviare il computer in modalit&#224; provvisoria

    RIPRISTINARE LA MODALITA’ PROVVISORIA, TASK MANAGER, REGEDIT IN WINDOWS

    Compatibilità: Windows Vista/Xp
    Scarica l'Utility di Suspectfile:
    http://www.suspectfile.com/download/utility.zip

    Certi virus hanno la simpatica caratteristica di disattivare la modalità provvisoria, il ripristino di configurazione, il centro sicurezza, task manager, regedit ed altro.
    Questa Utility di Suspectfile, segnalataci dal nostro più che competente utente Luke57, ci viene in aiuto ripristinando le funzionalità disattivate.

    Si raccomanda di eseguire i ripristini strettamente necessari.
    Dopo aver apportato le modifiche, è preferibile riavviare il Sistema Operativo.
    Nella lista viene riportata la compatibilità di ogni singola azione con il Sistema Operativo.

    1. Disclaimer
    2. Abilita task manager e regedit (XP/Vista)
    3. Imposta "AppInit_DLLs" = "" (XP/Vista)
    4. Imposta "Shell" = "Explorer.exe" (XP/Vista)
    5. Ripristina Wireless (XP/Vista)
    6. Abilita Firewall e notifiche (XP)
    7. Abilita Firewall e notifiche (Vista)
    8. Abilita notifiche del Centro Sicurezza Windows (XP)
    9. Abilita notifiche del Centro Sicurezza Windows (Vista)
    10. Hidden file: Hidden, ShowSuperHidden, CheckedValue (XP/Vista)
    11. Ripristina chiave "Hidden" (XP/Vista)
    12. Ripristina SafeBoot (Modalità provvisoria) (XP)
    13. Abilita Opzioni Cartella (XP/Vista)
    14. Abilita SystemRestore (Ripristino di Configurazione) (XP)
    15. Abilita barra degli strumenti Internet Explorer (XP/Vista)
    16. Abilita servizio "Aggiornamenti Automatici" (Wuauserv e BITS - XP/Vista)
    17. Abilita servizio "Registro Eventi" (Eventlog - XP/Vista)
    18. Abilita servizio "Centro sicurezza PC" (Wscsvc - XP/Vista)
    19. Abilita "UAC" (Vista)
    20. Imposta "EnableDCOM" = "Y" (XP/Vista)
    21. Rimuovi Prefetch, Recent e Cookies (XP/Vista)


    PREVENZIONE: BLOCCARE PARASSITI NON VOLUTI MODIFICANDO IL FILE HOSTS
    Per proteggere maggiormente il pc da parassiti vari, quali i doubleclick che nella migliore delle ipotesi comunicano a qualcuno le vostre preferenze nella navigazione e nella peggiore aprono un'autostrada per i trojan che desiderano andare in vacanza sul vostro harddisk, si può modificare il file hosts.
    Questa guida del nostro carissimo Giofi83 vi spiega come fare:

    => Bloccare parassiti non voluti modificando il file hosts <=
    Ultima modifica di bonovox767; 22-03-2012 alle 09.52.32
  2. 01-04-2009, 20.34.29 #2
    bonovox767
    bonovox767 non è collegato
    SWZone Staff - Moderatore
    Data Registrazione
    20-04-2004
    Località
    ...in_Rainbows
    Messaggi
    20.696

    PARTE SECONDA - I TOOLS DI RIMOZIONE

    TOOLS DI RIMOZIONE

    Vediamo ora I tools più efficaci per rimuovere dal vostro Pc quelle infezioni particolarmente difficili da rimuovere con gli strumenti normali.

    IMPORTANTE: DISABILITARE I SW DI EMULAZIONE CON DEFOGGER
    Compatibilità: Windows 7/Vista/xP

    Scarica Defogger:
    http://download.bleepingcomputer.com...f/Defogger.exe

    Alcuni programmi di emulazione CD, come Daemon Tools, sono noti per causare problemi durante l'esecuzione dei programmi anti-rootkit.
    Pertanto è importante disabilitarli prima di usare i programmi di rilevazione Rootkit, come DDS, Gmer etc.

    Per rendere la cosa semplice, esiste il programma DeFogger che vi permetterà di attivare e disattivare facilmente i driver del vostro lettore CD virtuale in modo che non ci siano interferenze con i programmi atti a rilevare eventuali infezioni.
    .
    • Scaricate Defogger sul vostro desktop e fate doppio click sull’icona del programma
    • Nella finestrella che si aprirà cliccate sulla voce Disable e cliccate su Yes ad un’eventuale richiesta di continuare nell’operazione.
    • Quando il programma avrà finito il suo compito si aprirà una finestrella con la voce Finished! e basterà premere sul tasto Ok
    • Se Defogger avrà rilevato un programma di emulazione CD/DVD, verrà chiesto un riavvio del Pc al quale risponderete affermativamente.


    Riabilitare l’emulazione CD/DVD
    Solo quando l’eventuale rimozione del virus/malware presente eventualmente sul vostro Pc, potrete riabilitare il vostro software di emulazione.
    Per farlo userete nuovamente Defogger, nello stesso modo descritto sopra, ma scegliendo la voce Enable

    THE AVENGER
    Compatibilità: Windows Vista/Xp/2000 (solo 32-bit)

    Scarica The Avenger:
    http://swandog46.geekstogo.com/avenger2/download.php

    Guida a The Avenger (in inglese):
    Swandog46's Public Anti-Malware Tools

    Questo programmino creato da swandog46 riesce ad eliminare ciò che normalmente non lo sarebbe, in quanto si avvia prima di qualsiasi applicazione, comprese quelle lanciate da malware.
    Utilissimo quindi per eliminare chiavi di registro maligne, rootkit et similia.
    Il rovescio della medaglia è però che non esegue pulizie in modo automatico, ma deve essere istruito dall’utente. La cosa migliore perciò è affidarsi ai consigli di persone che sappiano guidarvi nella compilazione dello script, a meno che non siate abbastanza esperti.


    COMBOFIX
    Compatibilità: Windows 7/Vista 32 e 64 bit * Xp/2000 solo 32 bit

    Scarica Combofix:
    Bleeping Computer Downloads: ComboFix Download

    Guida a Combofix (in italiano):
    Una guida ed un tutorial sull' utilizzo di ComboFix

    ComboFix è un programma creato da sUBs che scansiona il computer alla ricerca di malware conosciuto e, se trovato, cerca di rimuoverlo automaticamente.
    Oltre ad essere in grado di rimuovere molti delle più frequenti ed attuali infezioni, ComboFix produce un log contenente diverse informazioni che un esperto può utilizzare per rimuovere il malware non automaticamente eliminato dal programma.
    .
    • Scaricate e salvate Combofix sul desktop
    • Chiudere tutte le finestre e programmi in esecuzione.
    • Disconnettetevi dalla rete.
    • Chiudete o disabilitate le protezioni in tempo reale di Antivirus, Antispyware e Firewall.
    • Cliccate sulla tastiera il Tasto Windows (quello con la bandierina) più il tasto R
    • Nella finestra che si apre incollate o digitate la seguente stringa:
      "%userprofile%\desktop\combofix.exe" /killall
    • Date Ok, e rispondete NO alla domanda eventuale di installazione della consolle di ripristino.
    • Non fate assolutamente nulla durante la scansione, che può durare anche diversi minuti.

    A scansione ultimata il Pc si riavvìerà per completare la rimozione, e verrà creato un report, che potrete eventualmente allegare nel forum per interpretarlo, come indicato --> QUI <--

    Una volta eseguita la rimozione degli eventuali virus/Malware presenti sul vostro Pc, userete OTL per rimuovere la cartella qoobox creata da CF

    OTL by OldTimer per rimozione Combofix
    Compatibilità: Come Combofix

    Scarica OTL by OldTimer:
    http://oldtimer.geekstogo.com/OTL.exe

    OTL è un'utility da usare solo dopo che si sarà appurato che Combofix ha rimosso le eventuali infezioni.
    Questa Utility infatti si occupa di rimuovere in modo corretto Combofix dopo che ha svolto il suo lavoro.

    • Scaricate OTL by OldTimer sul desktop
    • Eseguitelo con il classico doppio clic
    • Cliccate su CleanUp.
    • Rispondete di sì alla richiesta di riavviare il pc.


    Dopo il riavvio né OTL,né Combofix e relative cartelle saranno più' presenti sul vostro Pc.

    HIJACKTHIS
    Compatibilità: Windows 7/Vista/Xp/2000/98

    Scarica Hijackthis:
    HijackThis - Trend Micro USA

    Guida a Hijackthis (in italiano):
    Guida all'uso di HijackThis

    Hijackthis è un programma standalone che ci consente di rilevare e correggere (fissare) la presenza di Spyware, malware, hijacker e quant'altro.

    Per usarlo fate riferimento alla guida ufficiale del forum che trovate nel link messo sopra.

    DDS by sUBs
    Compatibilità: Windows 7/Vista/Xp

    Scarica DDS.SCR:
    Bleeping Computer Downloads: DDS

    Guida a DDS.SCR:
    Guida all'uso di dds.scr

    DDS di sUBs è un Tool simile al già noto HijackThis, ma molto più preciso e dettagliato, e va quindi preferito nell'analizzare il vostro Pc per una prima diagnosi.
    Basta scaricare il Tool sul desktop e farci doppio click sopra per far partire la scansione, che durerà al massimo 3 minuti. Alla fine della scansione verranno generati 2 file con estensione txt che dovrete salvare ed allegare nel vostro post per farli analizzare dagli esperti.
    Alcuni Antivirus segnalano DDS come un possibile malware.
    Ovviamente il file è del tutto sicuro, quindi procedete tranquilli.
    Disabilitate momentaneamente l'AV se blocca l'esecuzione di DDS.

    TDSSKILLER by KASPERSY
    Compatibilità: Windows 7/Vista/Xp

    Scarica TDSSKiller.exe:
    http://support.kaspersky.com/downloa...tdsskiller.exe

    Scarica TDSSKiller.zip:
    http://support.kaspersky.com/downloa...tdsskiller.zip

    Guida a TDSSKiller:
    How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

    TDSSKiller è un Tool creato dalla nota Software House Kaspersy che si occupa di rimuovere svariati => Rootkit <=.

    Scaricate direttamente TDSSkiller.exe oppure il file zip sul vostro desktop ed estraete l’eseguibile, quindi fateci doppio click sopra.
    Il programma analizzerà il vostro Pc e vi segnalerà eventuali infezioni e vi chiederà come intendete agire.
    In fase di apertura il programma rivelerà eventuali aggiornamenti al suo Database e previo vostro consenso si auto aggiornerà.

    • Se verrà trovato un file infetto, l'azione di default sarà Cure.Cliccate su Continua.
    • Se verrà trovato un file sospetto, l'azione di default sarà Skip.Cliccate su Continua.
    • Se vi verrà chiesto di riavviare il pc completate il processo cliccando su Riavvia ora.
    • Se NON vi verrà chiesto di riavviare il pc, cliccate su Report e salvate il contenuto in un file di testo.
    • Se vi era stato richiesto il riavvio del Pc, il report lo troverete in C:\folder in questa forma: "TDSSKiller.[Version]_[Date]_[Time]_log.txt"


    aswMBR by AVAST
    Compatibilità: Windows 7/Vista/Xp

    Scarica aswMBR:
    http://public.avast.com/~gmerek/aswMBR.exe

    Aswmbr è uno scanner anti-rootkit creato da Avast che si occupa di verificare che nel vostro Pc non siano presenti Rootkit che infettano il Master Boot Record, o MBR.
    Questo scanner include la ricerca delle varianti TDL4/3, MBRoot (Sinowal), Whistler.
    Nel suo utilizzo il Tool autoaggiornerà il suo database di scansione, e sarà quindi necessaria una connessione ad Internet attiva.
    Ultima modifica di bonovox767; 22-03-2012 alle 12.00.20 Motivo: Aggiornamento compatibilità
  3. 01-04-2009, 20.35.53 #3
    bonovox767
    bonovox767 non è collegato
    SWZone Staff - Moderatore
    Data Registrazione
    20-04-2004
    Località
    ...in_Rainbows
    Messaggi
    20.696
    GMER
    Compatibilità: Windows 7/Vista/Xp/2000/NT

    Scarica GMER:
    GMER - Rootkit Detector and Remover

    Guida a GMER (in inglese):
    GMER - Rootkit Detector and Remover

    Programma ottimo Standalone (ovvero che non necessita di installazione) per la rimozione di malware e rootkit.
    • Scaricate il programma sul desktop e decomprimetelo.
    • Avviate ora il file gmer.exe e lasciate che esegua una scansione completa del sistema, che potrà essere anche lunga.
    • Se un’eventuale infezione non vi consente l’avvio di Gmer, rinominate il file gmer.exe in test.exe
    • Alla fine avrete un report che vi elencherà tutte le voci trovate, evidenziando in rosso quelle considerate maligne.
    • L’eliminazione dei files incriminati avviene tramite tasto destro sulla chiave e scelta dell’opzione “Delete the service”

    Fate attenzione che potrebbero essere riportate in rosso anche alcune voci legittime.
    Meglio quindi chiedere consiglio ad un utente più esperto su cosa eliminare.


    LOP S&D
    Compatibilità: Windows Xp/Vista

    Scarica LOP S&D:
    http://eric.71.mespages.googlepages.com/LopSD.exe

    Questo tool si occupa di eliminare le fastidiose pagine indesiderate del tipo PopUp CID.
    L’utilizzo è davvero semplice.
    • Scaricate il tool sul vostro desktop e fate doppio click su di esso.
    • Scegliete la lingua (Inglese, visto che l’italiano non non è presente)
    • Scegliete la voce n°1 – Search (tasto 1 della vostra tastiera) e date Invio
    • Lasciate che il tool termini la scansione e visionate il report creato in C:\lopR.txt, allegandolo eventualmente nel forum come spiegato --> QUI <--
    • Lanciate nuovamente il tool e scegliete ora la voce n°2 - Fix+Host (tasto 2 della vostra tastiera) e date INVIO

    Verrà avviata la rimozione delle voci maligne, di durata variabile a seconda del grado di infezione.

    NAVILOG
    Compatibilità: Windows Vista/Xp/2000

    Scarica NAVILOG:
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    Questo tool creato da “Il mafioso” è in grado di rilevare e rimuovere molte infezioni, dai malware ai rootkit, in modo del tutto automatico.
    L’utilizzo è simile a LOP S&D
    • Scaricate il tool sul vostro desktop e fate doppio click su di esso.
    • Installetelo e rispondete sì alla creazione di un’icona sul desktop.
    • Chiudete tutte le applicazioni in uso e lanciate il programma
    • Scegliete la lingua (Inglese, visto che l’italiano non non è presente)
    • Dovrete premere diverse volte Invio prima di arrivare alla scelta di azione.
    • Scegliete la voce n°1 – Search (tasto 1 della vostra tastiera) e date INVIO
    • Il tool scansionerà il vostro Pc e verrà avviata la rimozione automatica delle voci maligne, di durata variabile a seconda del grado di infezione., creando un report sulle azioni svolte.
      Visionate il report creato in C:\fixnavi.txt, allegandolo eventualmente nel forum come spiegato --> QUI <--


    SDFIX
    Compatibilità: Windows Xp/2000

    Scarica SDFIX:
    http://downloads.andymanchesta.com/R...ools/SDFix.exe

    • Scaricate il file sul desktop e fate doppio click su SDFix.exe per lanciare l'installazione
    • Cliccate su Install
    • Finita l'installazione riavviate il sistema in modalità provvisoria (leggete le spiegazioni ad inizio post, se non sapete come si fa)
    • Una volta in modalità provvisoria doppio click sul file RunThis.bat
    • Cliccate su Y e date INVIO per lanciare la pulizia.


    Al riavvio SDFix porterà a termine la procedura e visualizzerà un messaggio nel quale indica la fine della pulizia e l'opzione per visualizzare il log.
    Riavviate in modalita' normale ed allegate eventualmente nel forum il log di SDFix, come spiegato --> QUI <--
    Ultima modifica di bonovox767; 22-03-2012 alle 11.56.31
  4. 11-03-2011, 15.42.50 #4
    bonovox767
    bonovox767 non è collegato
    SWZone Staff - Moderatore
    Data Registrazione
    20-04-2004
    Località
    ...in_Rainbows
    Messaggi
    20.696


    PARTE TERZA - LE SCANSIONI ANTIVIRUS ONLINE

    SCANSIONI ONLINE

    Molte software house produttrici di programmi antivirus consentono di eseguire sul loro sito, in modo del tutto gratuito, delle scansioni online.Di seguito una lista di quelle più famose.

    N.B.:Alcune di queste scansioni, come quella di Eset, richiedono l’utilizzo di Internet Explorer.
    Verrà richiesta l’installazione di un software, di un componente aggiuntivo o l’abilitazione del controllo degli ActiveX.

    Va da sé che non correte nessun rischio dai link messi qui sotto, e che potete accettare senza problemi.
    Una volta installato il software ed aggiornato il database delle firme antivirus, inizierà la scansione.

    ESET Nod32
    (Richiede Internet Explorer)
    ESET Free Online Scanner

    Kaspersky
    (Si deve scaricare l'utility sul proprio Pc, che non va in conflitto con l'AV residente)
    Free Virus Scan - Kaspersky Lab

    Kaspersky
    (Sempre da Kaspersky, ma Online per singoli files, con il limite di 1Mb)
    Kaspersky Online Scanner

    Bitdefender
    (Richiede Internet Explorer)
    Free Online Virus Scan - BitDefender Online Scanner

    Virustotal
    (Scansione di singoli files tramite motore di 40 antivirus - Solo scansione - Limite file 20Mb)
    VirusTotal - Free Online Virus, Malware and URL Scanner

    Jotti's malware scan
    (Scansione di singoli files tramite motore di 20 antivirus - Solo scansione - Limite file 25Mb)
    Jotti's malware scan

    Guide utili Antivirus e AntiSpyware

    Guida alla Cofigurazione di Avira
    Con il consenso dell'autore, Luciano61 pubblichiamo la guida di configurazione ad avira free( gli stessi parametri possono essere applicati alla versione Premium e Security Suite)
    Come ottenere il massimo da Avira

    Guida all'uso di SUPERAntiSpyware Free Edition
    Con il consenso dell'autore, Luciano61 pubblichiamo la guida all'uso di SUPERAntiSpyware Free Edition.
    --> LEGGI LA GUIDA <--

    Guida a cura di Bonovox767 & Dubo
    Ultima modifica di bonovox767; 08-10-2011 alle 11.18.34
« Discussione Precedente | Discussione Successiva »

Segnalibri

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  

Regole del Forum