MegaLab.it

PC infetto da virus e altro malware? Vediamo come intervenire - Commenti

Ripulire il proprio computer dalla maggior parte delle infezioni in circolazione è un obbiettivo alla portata anche dei meno esperti: bastano alcuni programmi gratuiti e qualche attenzione. [continua...]

Penso sarà molto utile a vari utenti... e ci sarà più lavoro nella sezione sicurezza

grande farb

Berga95 ha scritto:Penso sarà molto utile a vari utenti... e ci sarà più lavoro nella sezione sicurezza

Su,su,tutti a leggere i log degli utenti

grande farb

Che bella guida precisa dettagliata e comprensibile, l'ho messa nei preferiti non si sa mai.

skizzzzo ha scritto:Che bella guida precisa dettagliata e comprensibile, l'ho messa nei preferiti non si sa mai.

anche io

Malwarebytes è aggiornabile anche manualmente
http://mbam.malwarebytes.org/database/mbam-rules.exe

(ci poteva stare anche il consiglio per l'uso di un avira rescue cd che male non fa mai)

crazy.cat ha scritto:Malwarebytes è aggiornabile anche manualmente
http://mbam.malwarebytes.org/database/mbam-rules.exe

Quello che mi mancava

lo Aggiungo all'articolo.

ci poteva stare anche il consiglio per l'uso di un avira rescue cd che male non fa mai

Gli altri suggerimenti li lasciamo per il forum,o non scrive più nessuno

Scusa ma che senso ha disinstallare un antivirus per metterne un altro? Ad esempio io ho kaspersky, perché dovrei disinstallarlo per utilizzare avira che è almeno alla pari, ma probabilmente inferiore? Il problema per me va risolto a monte, evitando antivirus poco efficaci...ok per tutto il resto.

Dark86 ha scritto:Scusa ma che senso ha disinstallare un antivirus per metterne un altro?

Se il tuo antivirus non è riuscito ad eliminare il virus, magari uno diverso ci riesce.

crazy.cat ha scritto:

Dark86 ha scritto:Scusa ma che senso ha disinstallare un antivirus per metterne un altro?

Se il tuo antivirus non è riuscito ad eliminare il virus, magari uno diverso ci riesce.

per una disinfezione efficace bisogna agire in provvisoria,e pochissimi antivirus partono in quella modalità,per ora.

Finita l'emergenza,puoi benissimo rimettere l'antivirus che preferisci.

Grande farb

il log di HijackThis va analizzato in questo sito: http://www.hijackthis.de/it
ed all'istante si vedono le voci buone e quelle non buone da eliminare.

Io inizierei sempre con gmer o un software che ne contiene il modulo antirootkit (come combofix) per eliminare prima di tutto i rootkit.
Mi capita spesso di dover "pulire" dei pc infetti nel mio lavoro, è molto difficile che ad esempio software come malwarebytes o altri antimalware trovino qualcosa su pc compromessi da rootkit.
Una volta pulito da questi ultimi e rieseguendo una scansione (macchina sempre con il cavo di rete scollegato) si trova altro malware prima non rilevabile.
Molte volte a impedire la corretta individuazione dei malware è un rootkit sulla traccia 0 del disco individuabile molto bene solo con prevx ed eliminabile eventualmente con un semplice fixmbr e fixboot da console di ripristino di emergenza.
Altra segnalazione è sicuramente quella di disattivare il ripristino configurazione di sistema prima di qualsiasi intervento.
Ho notato anche che se i malware/worm disattivano funzionalità del sistema operativo (es task manager active desktop, persino la modalità provvisoria) un valido aiuto è trojan remover che è anche in grado tramite le utilità integrate di resettare il file hosts (installabile in demo 30gg). Malwarebytes nel complesso, tranne appunto che per software particolarmente insidiosi lavora benissimo.
Altra cosa che consigliere dopo una pulizia è lanciare il controll di integrità dei file di sistema con il comando sfc /scannow
Se dopo la rimozione il pc non riesce a navigare in internet (cosa che accade spesso) consiglio il comando (da dare con privilegi amministrativi se avete vista o win 7 con UAC attivo) netsh winsock reset catalog e di controllare le impostazioni proxy dalla proprietà di explorer.

Questo un aiutino per aiutare a rimuovere i malware più insidiosi.
Certo, la miglior cosa è la prevenzione, perché anche con la più completa delle pulizie qualcosa può sfuggire.
Vedo che la maggior parte dei pc infetti che arrivano sono XP magari con sp2 e un'utente che naviga con internet explorer.
E' importantissimo mantenere sempre aggiornato il sistema operativo ed il browser (e magari non usare Internet Explorer) e possibilmente passare a SO più moderni come windows 7 (volendo a bit) fermo restando l'obbligo di usare un efficace (per quanto non lo siano sempre) software antivirus.

Sperando di essere stato d'aiuto faccio i complimenti per l'articolo

Ciao!

Dark86 ha scritto:Scusa ma che senso ha disinstallare un antivirus per metterne un altro? Ad esempio io ho kaspersky, perché dovrei disinstallarlo per utilizzare avira che è almeno alla pari, ma probabilmente inferiore? Il problema per me va risolto a monte, evitando antivirus poco efficaci...ok per tutto il resto.

Questa è una convinzione comune, un antivirus efficace (kaspersky comunque non è ai vertici) non risolve il problema a monte. Il vero problema è la convinzione che appunto il problema sia risolto a monte. :)

Ottimi suggerimenti GiovanniT

Le procedure dell'articolo vanno bene per un buon 70 % dei casi e sono alla portata anche dei meno esperti,

ma se l'infezione è davvero ostica,la tua procedura è molto avanzata e fa piazza pulita,anche se in quei casi un bel format ti fa risparmiare molte ore

ho letto qui di combofix, che non conoscevo e ho pensato di provarlo per vedere come funziona, come si presenta ecc. su un win 7 pulito, ossia senza nessun virus, malware ecc.
e credendo di usare un programma che fa una scansione, cerca le sue cose e se non trova niente, si ferma li e basta, ho fatto un gravissimo errore a provarlo.
e mi spiego, nel caso che qualcuno abbia la malsana idea di provarlo a macchina pulita.
allora lo lancio, fa il suo lavoro, dopo un po riavvia il pc e a schermata nera fa la sua scansione.
dopo circa 5 min, dice che ha finito e che riavvia il pc...ok
una volta riavviato, compare ancora e dice di aspettare che compila il file log.
molto bene e penso che la cosa sia finita li...e invece no...ha provocato un sacco di danni.
1- cancellato, che lui credeva malevoli due dll. che poi ha messo nella cartella backup e che poi col loro nome ho cercato su google se veramente erano malevoli...invece per niente...una era una dll di acrobat, che serve nel caso si usi il 3d e non mi risulta che adobe, faccia dll rootkit o virus ecc
2- un'altra dll di avisynth, che sappiamo essere quel programmino, che non è un virus, che serve per codifiche da dvd ad avi e cose simili.
infatti aperto adobe acrobat, subito mi ha detto che il programma è stato rovinato, manca roba e di riprisinarlo.
e fin qui di danni ne aveva fatti a sufficenza questo combofix, ma invece no....è andato oltre.
3- è esposto un sacco di cartelle nascoste di sistema tipo: root, recicle bin, recicler ed altre....e quelle recicler su tutti gli hard disk installati.
inoltre ne ha fatta un'altra di "bella"...come sappiamo in win 7 i programmi sembra che siano installati nella cartella programmi (se guardiamo con esplora risorse, ma invece sono installati nella cartella nascosta programs files...e in esplora risorse di win vediamo la cartella con l'alias programmi...ora in esplora risorse la mia cartella programmi è sparita e diventata nascosta e compare visibile program files...cioè il contrario.
agli effetti pratici non cambia niente, ma dato che a me piaceva vedere la cartella programmi, dato che parlo italiano, ora mi devo tenere la cartella program files
4-lancio un browser e mi dice che non è quello predefinito, impostazione che io avevo messo molto tempo prima.
altro non ho controllato, ma di certo aveva rovinato qualche altra cosa e per fortuna avevo l'immagine ed ho ripristinato il tutto.
allora io dico un paio di cose:
1- questo comboix, invece di eliminare le cose, potrebbe prima chiedere come fanno tanti altri....oppure saper riconoscere che una dll originale di adobe, non è un pericolo....inoltre lasciare le cartelle come sono, senza mettere visibili quelle nascoste e di sistema, che stanno bene nascoste.
se questo va bene, nel caso di pc con win xp con sp2 di persone che il pc, "basta che funzioni" e non c'è la cura e meticolosità di chi com me lo vuol vedere bene in ordine, anche nelle piccole cose...ok va bene....ma se poi ti elimina il virus o quello che è, a alla fine ti trovi che una certa parte di programm sani, non vanno perche lui ci ha detto che non sono sani....o altre impostazioni cambiate...allora questi che lo fanno il combofix o si aggiornano e sanno che una dll di adobe originale e una di avisybth non sono virus, e cancellano voci del registro anche nel caso come il mio che nessuna minaccia era presente...allora devono farlo un po' meglio o non farlo proprio...mi toglie il virus e dall'altra parte mi lascia mezzo pc, con programmi buoni rovinati e diverse impostazioni a suo piacere, come rendere visibili le cartelle nascoste di sistema....ma che stiamo scherzando?
allora come dice fabrix, molto meglo formattare, che si risparmia ore e anche questi difetti di questo combofix....e farsi prima una immagine sempre aggiornata è ancora meglio.
se per favore qualcuno sa come ripristinare le cartelle in win 7: programmi e program files come in origine ( programmi visibile in esplora risorse e program files nascosto), mi farebbe una grande cortesia.

Mai successa una cosa del genere,e avrò utilizzato come minimo 200 volte combofix,senza le conseguenze da te descritte

Per puro scrupolo,Ho creato una partizione con Win 7 pulito,con solo Adobe reader e Avisynth installato,lancio la scansione di Combofix e al riavvio i programmi sono ancora lì,senza tutti i macelli da te descritti.

I sospetti sono:

-Hai lanciato la scansione di Combofix con un antivirus attivo(e quindi in modalità normale)?

-Programmi di terze parti autoavvianti(firewall,antispyware)?

-Versione a 32 o a 64 bit di Windows 7?

-Sicuro che l'installazione di windows era pulita e che quelle dll non siano state cancellate da un malware?

Per concludere:

Combofix è uno strumento potente,da utilizzare solo se si sospetta un'infezione sul PC.

I medici sconsigliano di prendere gli antibiotici se non si ha un'infezione batterica in corso,rischi di danneggiare la flora intestinale e di crearti problemi di digestione.

Combofix è un antibiotico informatico

complimenti per l'articolo

si lanciato in modalità normale, con AVG antivirus e firewall attivi e nessun altro programma per di questo genere installato...win7- 32 bit.... non so quale altra modalità di avvio ci sia.
il primo lavoro che ha fatto (si poteva leggere nella finestrella dos) era che cercava di fare un punto di ripristino, ma non ci è riuscito perché ho disabilitato la modalità di ripristino....poi ha riavviato e funzionando solo lui ha fatto la scansione.
adobe acrobat 9 pro extended e tanti altri programmi installati, tutti originali e nessuno craccato...per pc pulito intendo che non aveva virus.
quelle dll sono state cancellate da combofix, infatti in C: c'era la cartella che crea lui, di backup ed erano li dentro le dll, con aggiunto qualcosa dopo l'estensione dll.
purtroppo dopo aver visto tanti danni ed un certo nervoso per questo disastro, non ho pensato di salvare il log e la cartella di backup, altrimenti ti facevo vedere.
è perché non intendo perdere ancora tempo, altrimenti rifarei il tutto e ti farei vedere il log.
capisco che è un antibiotico informatico, ma volevo solo provare a vedere cosa fa...
se anche avrò sbagliato a farlo funzionare a pc senza virus, di sicuro avrebbe dovuto fare una scansione e dire che non ha trovato nulla.
ma in ogni caso rimane il fatto delle tante cartelle nascoste di sistema che ha messo visibili.
il tuo è un bell'articolo e l'ho letto proprio apposta perché un amico giorni fa si è preso qualche infezione e l'ho girato a lui questo articolo che gli puo servire...
restando sul tono della tua battuta, diciamo che alcune persone sono allergiche agli antibiotici, proprio non li possono prendere....
e per me ora una cosa è certa, anche se mi dovessi prendere 750 virus o affini, quella "cosa" li non la userò mai più.

ti ringrazio per la risposta.

farbix89 ha scritto:Mai successa una cosa del genere,e avrò utilizzato come minimo 200 volte combofix,senza le conseguenze da te descritte

Per puro scrupolo,Ho creato una partizione con Win 7 pulito,con solo Adobe reader e Avisynth installato,lancio la scansione di Combofix e al riavvio i programmi sono ancora lì,senza tutti i macelli da te descritti.

I sospetti sono:

-Hai lanciato la scansione di Combofix con un antivirus attivo(e quindi in modalità normale)?

-Programmi di terze parti autoavvianti(firewall,antispyware)?

-Versione a 32 o a 64 bit di Windows 7?

-Sicuro che l'installazione di windows era pulita e che quelle dll non siano state cancellate da un malware?

Per concludere:

Combofix è uno strumento potente,da utilizzare solo se si sospetta un'infezione sul PC.

I medici sconsigliano di prendere gli antibiotici se non si ha un'infezione batterica in corso,rischi di danneggiare la flora intestinale e di crearti problemi di digestione.

Combofix è un antibiotico informatico