www.MegaLab.it

[The Walking Dead]

Ciao a tutti.

Attualmente la sezione sicurezza è priva di utenti attivi.
Visto lo stato delle cose è sostanzialmente impossibile per quei pochi rimasti fornire assistenza nella rimozione delle infezioni, e sempre più richieste d'aiuto vengono ignorate.
Considerato lo stato delle cose, ho pensato di fornire dei rapidi consigli per auto assistervi.
Consideratela una guida "tampone" che, negli intenti, dovrebbe permettervi di autogestirvi e portare a termine una procedura di rimozione di base.
Questa guida non è indicata per tutte le infezioni o per ogni specifico problema.

Di seguito alcuni consigli, volutamente molto semplificati, per andare incontro alle esigenze dell'utenza meno esperta, che avesse riscontrato problemi di malware.

1)Se avete un log di HijackThis da analizzare potete farlo in proprio, ricorrendo a questo servizio.
http://www.ilsoftware.it/hijackthis.asp
È sufficiente copia incollare il link nella finestra "Log file" e attendere il responso.
Importante: In presenza di elementi da fixare, verificate tramite Google che l'elemento sia davvero nocivo, (in particolare negli OS a 64 Bit).

2)Se siete incerti sull'effettivo rischio di un determinato file ricorrete a Virus Total.
https://www.virustotal.com/it/

3)In caso il vostro antimalware\ antivirus individuasse un determinato file come pericoloso, cercatene il nome su Google, ciò di solito è sufficiente per un analisi preliminare del problema, o per individuare tools specifici di rimozione.

4)Se avete necessità di verificare la vostra macchina alla ricerca di malware, ecco alcuni tool consigliati.
-AdwCleaner http://www.bleepingcomputer.com/download/adwcleaner/
-Hitman Pro http://www.surfright.nl/it/downloads/ (attivate pure la licenza gratuita in caso di necessità)
-Malwarebytes Anti-Malware http://it.malwarebytes.org/products/malwarebytes_free
-Kaspersky Virus Removal Tool http://www.kaspersky.com/antivirus-removal-tool?form=1

5) Se non avete un backup dei dati, e\ o non avete nessun altro sistema di backup che vi consenta di ripristinare la macchina in caso di errori nella rimozione "fai da te" , eliminate i punti di ripristino solo a disinfezione avvenuta, quando siete certi di non riscontrare più alcun errore.
Avere attivi i punti di ripristino vi consentirà di riportare la macchina ad uno stato precedente in caso di errore grave nella rimozione del malware.
Quando siete certi che tutto è andato per il meglio provvedete pure alla rimozione di questi.
Link attivazione\disattivazione funzionalità di Ripristino configurazione di sistema per XP http://support.microsoft.com/kb/310405/it
Link attivazione\disattivazione funzionalità di Ripristino configurazione di sistema per Windows 7 http://windows.microsoft.com/it-it/wind ... -on-or-off
Successivamente potete riattivarli per futuri utilizzi.

Questa breve guida non si pone l'obbiettivo di risolvere ogni infezione, e non è indicata per le infezioni più complesse o specifiche.

[Hironori]

ottimo , penso che risolverebbe il 90% delle richieste

[The Walking Dead]

Grazie Hironori.
Se avete altri consigli sono ben accetti.

Questa breve guida aveva solo lo scopo di fornire un analisi preliminare, perché mi spiace vedere cosi tanti post d'aiuto venire ignorati.
Il punto è che con 5 o 6 utenti rimasti attivi, è praticamente impossibile fornire aiuto almeno di non passare l'intera giornata sul forum.

[[Claudio]]

Ciao a tutti.
Attualmente la sezione sicurezza è priva di utenti attivi.
Visto lo stato delle cose è sostanzialmente impossibile per quei pochi rimasti fornire assistenza nella rimozione delle infezioni, e sempre più richieste d'aiuto vengono ignorate.

Voglio essere onesto, potrei anche farlo (lo faccio altrove, non vedo la ragione per non farlo qui) ma capirai che su due forum diventa impegnativo (e poi, lo posso fare ora che non ho grandi impegni di lavoro, ma appena ricomincia la scuola avrei grossi problemi).
Per il resto, tendenzialmente la base da cui partire è quella; eviterei, però di dare in pasto il report di Hijackthis all'analizzatore on-line, per due ragioni:
1) perché non sempre è preciso e/o di facile interpretazione;
2) perché è assolutamente impreciso con sistemi 64Bit.
Il rischio è che l'utente si avventuri nei FIX senza sapere cosa fa; meglio, invece, far pubblicare il report in maniera che qualcuno possa analizzarlo e suggerire all'utente come proseguire.

Ribadito che, SU QUESTO FORUM ci sarebbero parecchie cose da poter fare, se solo chi è al vertice LO VOLESSE.

[The Walking Dead]

Voglio essere onesto, potrei anche farlo (lo faccio altrove, non vedo la ragione per non farlo qui) ma capirai che su due forum diventa impegnativo (e poi, lo posso fare ora che non ho grandi impegni di lavoro, ma appena ricomincia la scuola avrei grossi problemi).

E si, su due forum, tre se includiamo TL, diventa impossibile.
È inoltre impossibile coniugare gli impegni quotidiani con quelli del forum.

Per il resto, tendenzialmente la base da cui partire è quella; eviterei, però di dare in pasto il report di Hijackthis all'analizzatore on-line...

Sono perfettamente d'accordo.
Sono stato indeciso fino all'ultimo se inserire questa opzione nella lista dei consigli.
Ho deciso di farlo perché se scorriamo la lista dei post di questa sezione vediamo che poi nella pratica restano senza risposta.
Ho quindi voluto inserire uno spunto che gli permettesse di cavarsela anche da soli, nel caso poi materialmente non ricevano assistenza.
Ogni elemento da fixare dovrebbe essere sviluppato con opportune analisi in rete, questo credo dovrebbe essere chiaro.
Ovvero, di base se intendono avvalersi di una guida fai da te, perché si è materialmente impossibilitati ad intervenire, quantomeno controllare ciò che eliminano (cosa che gli è stata consigliata) dovrebbero riuscire a farlo.

Comunque bene o male, volevo solo fornirgli qualche spunto che gli permettesse di avere quantomeno una base da cui partire per le infezioni più generiche e meno problematiche.

[[Claudio]]

Comunque bene o male, volevo solo fornirgli qualche spunto che gli permettesse di avere quantomeno una base da cui partire per le infezioni più generiche e meno problematiche.

Infatti la base è quella suggerita da te (e risolve già diversi problemi).

Io, di solito procedo cosi:

> rimozione (Pannello di Controllo/Programmi) di tutte le toolbar eventualmente installate, di Adobe Flash Player e di Java (se le versioni in uso sono superate);
> scansione con HitmanPro ----> salvare il report dopo l'eliminazione dell'eventuale malware;
> scansione con Malwarebytes ----> salvare il report dopo l'eliminazione dell'eventuale malware;
> scansione ed eliminazione dei residui di toolbar con ADW Cleaner ----> salvare il report dopo l'eliminazione;
> scansione con Hijackthis ----> salvare il report;
utilizzare Wikisend per la pubblicazione dei report.

Spesso (cosa che mi fa imbestialire) vedo suggerire la disattivazione del Ripristino configurazione di sistema PRIMA di procedere alle operazioni di bonifica; un modo come un'altro per "inchiodare alla croce" l'utente che chiede assistenza nel caso in cui, durante le operazioni di bonifica, qualcosa dovesse andare storto (cosi gli si toglie ogni possibilità di recuperare il completo controllo del computer sfruttando un punto di ripristino).

L'assurdità di questa cosa è la giustificazione che viene data : siccome il sistema è infetto, anche i punti di ripristino lo sono ( della cartella Prefetch però non si parla, quella resta intonsa ), quindi meglio disattivare tutto subito ..... piuttosto che dare la possibilità all'utente di ricorrere ad un punto di ripristino infetto (che poi dico ...... ma chi se ne frega, l'infezione la rimuovo, ma se per qualche misteriosa ragione perdo il controllo della macchina sono letteralmente fregato; e questo per essermi fidato di qualcuno).

Per problemi più ostici (ovvero quelli non risolti attraverso il procedimento di base) si passa a Combofix che, sia chiaro, è da utilizzare con le dovute cautele, quindi, da evitare iniziative personali (ecco, Combofix mi piacerebbe davvero imparare ad utilizzarlo completamente per fare assistenza, ma in rete non ci sono guide davvero complete - da qualche parte ho letto che fanno dei corsi on-line ....).

[The Walking Dead]

Mi piacerebbe poter includere qualche suggerimento nella guida, però come sai non è possibile editare il post dopo i fatidici 10 minuti.
Ciò che possiamo fare è riscriverla da capo se preferite.
La mia è stata un iniziativa estemporanea in quanto continuo a notare richieste di aiuto passare sempre più inosservate.

Inoltre non volevo renderla troppo complessa o laboriosa ed ho evitato tools che potessero compromettere la stabilità del sistema (Combofix).

[[Claudio]]

Mi piacerebbe poter includere qualche suggerimento nella guida, però come sai non è possibile editare il post dopo i fatidici 10 minuti.
Ciò che possiamo fare è riscriverla da capo se preferite.

@Dead, secondo me non è necessario, quello che serve è indicato nel precedenti post.

P.S.: hai formattato?

[The Walking Dead]

Mi piacerebbe poter includere qualche suggerimento nella guida, però come sai non è possibile editare il post dopo i fatidici 10 minuti.
Ciò che possiamo fare è riscriverla da capo se preferite.

@Dead, secondo me non è necessario, quello che serve è indicato nel precedenti post.

P.S.: hai formattato?

Ancora no cla, comunque grazie per averci pensato oggi proprio non avevo voglia di dedicarmi ancora al disco, in questi giorni non ho fatto altro.

Comunque rag se vogliamo rifare la guida, aggiungere qualche suggerimento, in maniera tale che questa possa di una qualche utilità, per me non ci sono problemi.

[[Claudio]]

Comunque rag se vogliamo rifare la guida, aggiungere qualche suggerimento, in maniera tale che questa possa di una qualche utilità, per me non ci sono problemi.

Guarda, facciamo in questa maniera, fermo restando ciò che è già stato esposto:

> rimozione (Pannello di Controllo/Programmi) di tutte le toolbar eventualmente installate, di Adobe Flash Player e di Java (se le versioni in uso sono superate);
> scansione con HitmanPro ----> salvare il report dopo l'eliminazione dell'eventuale malware;
> scansione con Malwarebytes ----> salvare il report dopo l'eliminazione dell'eventuale malware;
> scansione ed eliminazione dei residui di toolbar con ADW Cleaner ----> salvare il report dopo l'eliminazione;
> scansione con Hijackthis ----> salvare il report;
utilizzare Wikisend per la pubblicazione dei report.

Se volete aggiungere qualcosa, proseguite in questa discussione con le indicazioni; una volta raccolte e esaminati i pro ed i contro delle varie proposte, possiamo predisporre una Guida definitiva.

Un solo suggerimento (perché è necessario ricordare che, almeno in questa prima fase chi fornisce assistenza deve essere in grado di "analizzare" i Report prodotti): evitate di suggerire tool particolari (TDSS killer, RKill e compagnia) perché il rischio è di trovarsi poi in difficoltà nel proseguire l'assistenza.

Ecco perché dicevo che, cosi come proposta, la procedura è già più che completa ed utile.

[The Walking Dead]

Per eliminare le toolbar, oltre che da pannello di controllo farei operare un utente inesperto con avast! Browser Cleanup, non so che ne pensi.
Disinstallando semplicemente le toolbar alcune impostazioni, come la pagina iniziale , potrebbero comunque restare attive.
Con ABC possono ripristinarle alle impostazioni iniziali, possono inoltre contare su una valutazione d affidabilità da parte degli utenti di Avast.
http://files.avast.com/files/tools/avas ... leanup.exe



In pratica quello che dico, scriviamogli due righe per aiutarli ad aiutarsi.

[Hironori]

due righe per breach mode di hitman ? Con i vari rogue aiuta ( e non solo )

[The Walking Dead]

due righe per breach mode di hitman ? Con i vari rogue aiuta ( e non solo )

A me piace come idea.

Kaspersky Virus Removal Tool come vi sembra?
Preferite altri software?

Sull'idea di consigliare di rimuovere o aggiornare Flash o Java, io avrei alcuni dubbi.
In quanto trovo sia più un consiglio da post disinfezione, piuttosto che relativo alla fase di rimozione, solo per questo non perché il consiglio sia sbagliato.

Secondo me, però manifestate pure se avete pareri contrari, dovremmo fornire una guida il più rapida e veloce possibile.
Anche perché esiste già una guida avanzata alla rimozione del malware.
viewtopic.php?f=33&t=65911

Mettiamoci nei panni di un utente inesperto.
Cosa vorreste al loro posto? Quando cercate sul web un informazione di cui avete necessità, ma sulla quale non conoscete assolutamente nulla, preferite un post snello, che spieghi brevemente cosa fare per risolvere il problema, oppure una discussione in cui ci si dilunghi con argomentazioni complesse per un neofita?
Ho un problema, come lo risolvo?
È questa la domanda alla quale dobbiamo rispondere secondo me.
In questo periodo per esempio come alcuni di voi sanno, ho avuto problemi con l'HD, aspetto questo che non avevo mai sentito la necessità di sviscerare e sul quale sapevo ben poco.
Durante le mie ricerche ho sistematicamente escluso tutti i post tecnici, o i software troppo complessi, preferendo invece applicazioni chiare e spiegazioni semplici.

Un altra cosa che mi piacerebbe implementare, perché non viene fatto mai da nessuno.
Consigliare di formattare nei casi più gravi.
Può sembrare una resa, in un post che spiega come disinfettare una macchina, il punto è che io vedo sempre più topic in cui ci si intestardisce nel voler ripulire macchine infettate da decine di malware, rootkit, in modo sostanzialmente inutile.
Un rootkit potrebbe benissimo modificare alcuni comportamenti del kernel, arrecare danni alla struttura di Windows, e anche una volta rimosso, il SO non avrebbe più lo stesso grado di stabilità\sicurezza.
Inoltre è un modo veloce di risolvere una problematica.

[The Walking Dead]

Sull'idea di consigliare di rimuovere o aggiornare Flash o Java, io avrei alcuni dubbi.
In quanto trovo sia più un consiglio da post disinfezione, piuttosto che relativo alla fase di rimozione, solo per questo non perché il consiglio sia sbagliato.

Pensandoci bene potremmo creare un sottocapitolo "Post disinfezione" includendo questi due consigli.

[The Walking Dead]

L'assurdità di questa cosa è la giustificazione che viene data : siccome il sistema è infetto, anche i punti di ripristino lo sono ( della cartella Prefetch però non si parla, quella resta intonsa )

Cla come sai io condivido pienamente questo consiglio, perché ne abbiamo parlato in privato.
Il motivo è presto detto.
Alcuni si dichiarano contrari all'idea di tenere attivata la funzionalità di ripristino sostenendo che "sarebbe infetta".
Di conseguenza ripristinando la macchina ad uno stato precedente, questa verrebbe reinfettata.

Il punto è che questa analisi non tiene conto del fatto che noi ripristiniamo la macchina solo in caso di aggravio del problema.
Faccio un esempio:
La procedura di rimozione comporta un errore umano, del software antivirus, oppure semplicemente l'impossibilità di avviare la macchina a seguito dell'azione del malware.
Prima era infetto, adesso sono infetto e non si avvia nemmeno più la macchina.

Se la funzionalità di ripristino è attiva, ripristino la macchina ad uno stato precedente, questa si riavvia nuovamente, e posso tentare nuovamente la rimozione.
Ho quindi risolto un problema (l'avvio) ed ho la possibilità di rimuovere il secondo (il malware).
Come ti dicevo in privato, se io fossi un medico che intervengo per curare un paziente in coma, ed in seguito ad un mio errore il paziente muore, se avessi attivata la funzionalità di ripristino questo potrebbe tornare in coma.
Certamente non è una condizione ideale, ma sempre meglio che morto.
Perché alcuni software antivirus creano un punto di ripristino prima di operare la rimozione del malware?
Questa è una cosa che quasi nessuno si chiede.

Invece sulla cartella prefetch io ho un pensiero diverso dal tuo.
La cartella prefetch contiene esclusivamente dei file .pf (non sempre) che non sono legati all'azione del malware da quanto ne so io.
Se anche un malware risultasse tra le applicazioni più comunemente usate semplicemente Windows creerebbe un file del tipo virus.pf del tutto innocuo.
Non saprei poi se tu intendevi altro.

[[Claudio]]

Secondo me stiamo andando un pochino oltre il concetto di partenza (una guida indicativa o di primo approccio alla risoluzione di problemi connessi a eventuale malware); comunque:

Per eliminare le toolbar, oltre che da pannello di controllo farei operare un utente inesperto con avast! Browser Cleanup, non so che ne pensi.

Ha le stesse funzionalità di ADWCleaner (previsto nella procedura suggerita);

due righe per breach mode di hitman ? Con i vari rogue aiuta ( e non solo )

Potrebbe essere interessante, ma è una modalità a cui ricorrere quando non c'è alcun modo di terminare il servizio avviato dal rogue o quando viene inibita l'esecuzione del software (questa non è una informazione disponibile, deve comunicarlo l'utente e per farlo lo dovrà verificare); in quel caso si potrebbe suggerire il ricorso alla modalità BM;

Kaspersky Virus Removal Tool come vi sembra?

Personalmente lo ritengo inutile: la combinazione HitmanPro + MalwareBytes basta ed avanza;

Sull'idea di consigliare di rimuovere o aggiornare Flash o Java, io avrei alcuni dubbi.

Farlo prima oppure dopo non cambia nulla (in realtà, qualcosa cambia: con la rimozione di Java viene rimossa anche la sua cache, altro luogo in cui si annida malware).

Mettiamoci nei panni di un utente inesperto. Cosa vorreste al loro posto?

Una procedura semplice, che si esaurisce nel giro di un'ora e che dia dei risultati senza obbligarmi a eseguire 12 tipi di scansione diverse ( <-- )

E, se possibile, anche nei casi più gravi, cercare di evitare la formattazione (è proprio l'ultima opzione che prenderebbe in considerazione un utente inesperto e anche chi fornisce assistenza ).

[[Claudio]]

Avevo dimenticato questa parte:

Invece sulla cartella prefetch io ho un pensiero diverso dal tuo.
La cartella prefetch contiene esclusivamente dei file .pf (non sempre) che non sono legati all'azione del malware da quanto ne so io.
Se anche un malware risultasse tra le applicazioni più comunemente usate semplicemente Windows creerebbe un file del tipo virus.pf del tutto innocuo.
Non saprei poi se tu intendevi altro.

Precisato, quindi, che i malware non si installano nella cartella Prefetch (ovviamente i file ivi contenuti non sono eseguibili) vale un po’ lo stesso ragionamento fatto per la cache di Java (che si potrebbe allargare anche alla cartella TEMP): Windows copia il nome dell'eseguibile aggiungendo (come fai notare tu) un altra voce e l'estensione .pf (questo per velocizzare, quando viene richiamato, la elaborazione di quel file).
Questo non viene fatto solo con eseguibili “puliti” ma anche con eventuali malware, quindi non c'è alcuna utilità nel mantenerli.
Solo per annotazione: se su Windows XP non ci sono problemi nel svuotare l’intero contenuto, da Vista in poi è necessario avere l’accortezza di NON rimuovere il file layout.ini.

[The Walking Dead]

@Claudio

Secondo me stiamo andando un pochino oltre il concetto di partenza (una guida indicativa o di primo approccio alla risoluzione di problemi connessi a eventuale malware)

Ok concordo.

Ha le stesse funzionalità di ADWCleaner

Andiamo di ADWCleaner, senza doppioni.

otrebbe essere interessante, ma è una modalità a cui ricorrere quando non c'è alcun modo di terminare il servizio avviato dal rogue o quando viene inibita l'esecuzione del software (questa non è una informazione disponibile, deve comunicarlo l'utente e per farlo lo dovrà verificare)

Se indichiamo di impostarla di default?

Personalmente lo ritengo inutile: la combinazione HitmanPro + MalwareBytes basta ed avanza;

Ok andiamo sull'essenziale.

Farlo prima oppure dopo non cambia nulla (in realtà, qualcosa cambia: con la rimozione di Java viene rimossa anche la sua cache, altro luogo in cui si annida malware).

Che ne dici se consigliamo banalmente Ccleaner, che elimina anche i temp?

Una procedura semplice, che si esaurisce nel giro di un'ora e che dia dei risultati senza obbligarmi a eseguire 12 tipi di scansione diverse

Condivido, abbiamo la stessa idea di fondo, una guida che richiede un numero eccessivo di scansione secondo me non è la più adatta.

E, se possibile, anche nei casi più gravi, cercare di evitare la formattazione (è proprio l'ultima opzione che prenderebbe in considerazione un utente inesperto e anche chi fornisce assistenza )

Qui Cla sono in disaccordo, concordo sul fatto che è l'ultima cosa che vuole un utente, però secondo me dovrebbero capire che in presenza di decine di malware, 1) questa guida non risolverà tutti i problemi 2) impiegherà tempo 3) non eliminerà tutti i problemi di post disinfezione.
Come detto se un malware modifica il comportamento del kernel , rendendo la macchina instabile e alterando i suoi meccanismi di funzionamento, l'antivirus pur rimuovendo il malware non ripristinerà il corretto funzionamento del pc.

[[Claudio]]

Se indichiamo di impostarla di default?

Non c'è la possibilità di avviare la modalità Force Breach Mode di default; è una operazione che va eseguita manualmente (per facilitare la cosa, vedere questo post di Nv 25 su HitmanPro.
Interessante, inoltre la modalità Kickstart (USB Flash).

Che ne dici se consigliamo banalmente Ccleaner, che elimina anche i temp?

Se impostato correttamente, elimina anche il contenuto della cartella TEMP:



Volendo (ma non ho mai provato) allo stesso modo si può impostare la pulizia della cartella Prefetch, mettendo nelle esclusioni il file layout.ini.

Come detto se un malware modifica il comportamento del kernel , rendendo la macchina instabile e alterando i suoi meccanismi di funzionamento, l'antivirus pur rimuovendo il malware non ripristinerà il corretto funzionamento del pc.

Dipende sempre dal malware, @Dead (sono della opinione che il format sia l'ultima scelta da fare; piuttosto, ci si dovrebbe abituare a fare un bel backup del sistema pulito e conservarlo gelosamente).

[The Walking Dead]

Si il backup è la prima scelta, però dubito che ne abbiano.
Comunque non è cosi rilevante suggerirgli di formattare, va bene anche omettere questa parte.

Su HP per impostare di default intendevo dire che gli suggeriamo di aprire HP tenendo premuto CTRL.
Insomma però alla fine sono dettagli, quindi va bene per me in ogni caso.