Guida alla rimozione di malware presi da MSN-Messenger

[Gle89]

La grande popolarità che ricopre la rete MSN è la causa delle attenzioni da parte dei malwarewriter e sempre più spesso i worm inglobano meccanismi di infezioni che fanno leva sulla diffusione del contagio in questa rete.
Solitamente l'infezione è subordinata all'accettazione di archivi zippati contenenti eseguibili camuffati da pagina web o archivio fotografico che sono accompagnati da testo in lingua straniera.
Ultimamente le vittime vengono addescate da semplici link che portano a una pagina di login su server estranei a microsoft.com, pagina creata al solo scopo di rubare i dati di registrazione degli utenti

Di seguito viene proposta una prima metodologia di approccio alla disinfezione atta ad analizzare la situazione in cui versa attualmente il pc.

PRIMA FASE

Disattivate il ripristino di sistema fino a che non sarete stati completamente disinfestati:

--> metodo per winXP

1. Fare clic su Start-> Programmi->Accessori->Esplora risorse.

2. Fare clic con il pulsante destro del mouse sull'icona Risorse del computer e quindi su Proprietà.

3. Selezionare la scheda "Ripristino configurazione di sistema".

4. Selezionare la voce "Disattiva ripristino configurazione di sistema"

5. Premere OK. Verrà richiesto di confermare l'azione in quanto saranno eliminati tutti i punti di ripristino memorizzati. Confermare premendo SI.



--> metodo per Win-Vista

Per attivare o disattivare Protezione sistema
1. Per aprire Sistema, fare clic sul pulsante StartImmagine del pulsante Start, scegliere Pannello di controllo, Sistema e manutenzione e quindi Sistema.

2. Nel riquadro sinistro fare clic su Protezione sistema. Autorizzazioni di amministratore necessarie Se viene chiesto di specificare una password di amministratore o di confermare, digitare la password o confermare.

3. Per disattivare Protezione sistema per un disco rigido, deselezionare la casella di controllo visualizzata accanto al disco e quindi fare clic su OK.



SECONDA FASE


Scaricare ed eseguire ATF-Cleaner seguendo queste brevi indicazioni (non richiede installazione):
nella finestra che si è aperta contrassegnare "Select All", poi clickare sul menù "Firefox" e contrassegnare "Select All" e procedere nello stesso modo anche nel menù "Opera", infine premere "Empty Selected";

1. HiJackThis -> download
   si raccomanda di scompattare HiJackThis in una directory esclusiva, quindi non sul desktop! aprire HiJackThis poi cliccare "open the misc tools section" andare in "open ads spy" levare la spunta a "quick scan" e infine avviare la scansione clickando sul tasto "scan". non è necessario pubblicare questo log
   
   
2. Msn Photo virus remover -> download
   scarica il tool in una cartella dedicata nel tuo pc e avvialo (non richiede installazione) aspetta che scarichi gli aggiornamenti poi cliccare sul pulsante START, aspettare la fine della scansione e chiudere il programma. Verrà salvato un log nella cartella in cui avete salvato il tool, pubblicatelo.
   
   
3. MsnCleaner -> download
   scompattare lo zip in una directory esclusiva creata precedentemente all'interno dell'hardisk, all'esecuzione impostare la lingua italiana, chiudere tutte le finestre del browser, clickare su "Analizza". Al termine della scansione selezionare tutti gli oggetti rilevati e premere "Cancella" per eseguire la pulizia infine premere su "Report" e salvare il file di testo che verrà mostrato per poi pubblicarlo nel therad (= discussione);
   
   
4. Clean Virus MSN ->download
   scompattare lo zip in una directory esclusiva creata precedentemente all'interno dell'hardisk e seguire le istruzioni a video;
   
   
5. A-Squared Free v4.x (eseguite l'aggiornamento riavviate windows e poi eseguite la scansione COMPLETA) -> download| guida
   
   esiste anche la versione che non richiede installazione: a-squared Command Line Scanner -> download | guida
   è da eseguire da linea di comando utile anche su pc in cui non si gode di privilegi di utenza d'Amministratore.
   a fine scansione premere "sposta in Quarantena" e poi "Salva Rapporto" quindi pubblicare questo rapporto (= log)
   
   
6. HiJackThis -> download
   Avvia il tool e premi la prima opzione "do a system scan and save log" aspetta che ti dia il file .txt (blocco note), per farsi analizzare il log usare il thread HiJackThis - Analisi Log - leggere Regole di Sezione o potete analizzarlo in autonomia grazie a Questa Guida.
   
   
7. apri il task-manager (ctrl + alt + canc) e termina il processo "wksvcsc.exe"
   
   eliminare dunque il file C:\WINDOWS\wksvcsc.exe (che, essendo nascosto, è visibile esclusivamente attivando la visualizzazione dei file nascosti dalle proprietà di visualizzazione cartelle di Windows)
   
   fatto questo apri regedit (start -> esegui..: -> regedit -> invio ) e posizionati nella stringa
   "HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/
   quindi nella finestra di destra individua la chiave:
   "UDP di controllo di Windows Servizio" contenete il riferimento all'eseguibile che abbiamo stoppato prima, quindi elimina la chiave, quindi riavvia il pc.
   N.B.: potresti NON trovare quel file, se non c'è prosegui con la guida!
   
   
8. Wlm Safe 3.5 (SOLO per Messenger PLUS!) -> download
   scarica e installa WLM Safe è il primo script per Messenger Plus! che:
   -Blocca i link ricevuti che rimandano a virus.
   -Blocca i link ricevuti che rimandano a siti di phishing (furto dei dati personali)
   -Consente di bloccare i link inviati (opzione da attivare se si è già infetti)
   -Consente di ricevere notifiche con informazioni aggiornate sui virus più recenti
   -La nuova versione è stata implementata con suoni e una grafica migliore.
   
   
   
9. E’ consigliabile attivare la scansione antivirus dei file in arrivo su msn :
   strumenti – opzioni – trasferimento file – mette la spunta su “Effettua scansione antivirus dei file con:” e poi cliccare su SFOGLIA e cercare il proprio antivirus fra le cartelle del pc, dopo premere applica e poi ok.
   

N.B. Se avete avete preso uno o più malware da MSN siete pregati di POSTARE i vostri dubbi,problemi e log in questa guida, senza aprire altri thread!!!
Per i log è caldamente consigliato inviarli su uno dei tanti server free che permettano l'hosting temporaneo di file come ad esempio quelli consigliati dalle Regole di Sezione infine copiare il link per il download e pubblicarlo nel forum nel proprio messaggio. si consiglia di riunire i link in un unico messaggio per evitare dispersione.

Inoltre è preferibile corredare il proprio messaggio anche dal maggior numero di dettagli possibili riguardanti l'infezione del proprio pc, indicando il sistema operativo sul quale si richiede assistenza e attendere una risposta.

ATTENZIONE AI SITI TRUFFA!!!

Vi sarà sicuramente capitato di ricevere mail dai vostri contatti o addirittura messaggi su MSN con l’invito a cliccare su un certo link per scoprire chi vi ha bloccato o per scoprire password altrui.
Sono TUTTI siti truffa che in realtà rubano la vostra password di msn e a tutti i vostri contatti invia un messaggio dicendo di cliccare sul link per accedere allo stesso servizio!

Per motivi di sicurezza, se avete già usato questo tipo di servizio, cambiate PASSWORD e DOMANDA SEGRETA di MSN.

Ecco un piccolo elenco di siti che effettuano questo genere di truffe:

messengerlist.biz
messengerscan.com/it
nonammesso.com
checkmessenger.net
scanmessenger.com
messenger-list.net
listingmessenger.com
checkmessenger2.net
checkmessenger3.net
contact-messenger.net
bloquo.com
messengerlisting.com
myfriendz.info/indexxx.php
contact-messenger.com
list-view.net
blockstatus.com/msn/delete-checker
messengerscan.net
contact-messenger.com
view-list.biz
meetyourmessenger.it
members.lycos.nl

[xcdegasp]

ottimo lavoro, linko questo capolavoro

[wjmat]

vedo che ci sono nuove entrate e alcune sparizioni... me le spiegherai per benino
carino lo script per msn plus, mi mancava

beh... complimenti per il lavoro

[Chill-Out]

MSNFix che fine ha fatto? Inoltre il Punto 7 fà riferimento ad una infezione specifica io lo terrei separato dal contesto generale.

[Gle89]

Quote:

Originariamente inviato da Chill-Out

MSNFix che fine ha fatto?

MsnFix è stato sotituito con Msn Photo virus remover dato che è il suo sotituto VISUALE e gli utenti avranno meno difficoltà a farlo girare!

Quote:

Inoltre il Punto 7 fà riferimento ad una infezione specifica io lo terrei separato dal contesto generale.

Mi sono documentata e questa procedura serve per molte delle infezioni prese da MSN

[Chill-Out]

Quote:

Originariamente inviato da Gle89

MsnFix è stato sotituito con Msn Photo virus remover dato che è il suo sotituto VISUALE e gli utenti avranno meno difficoltà a farlo girare!

Sono due tool diversi, sviluppati da due autori diversi e nesuno dei sostituisce l'altro

Quote:

Mi sono documentata e questa procedura serve per molte delle infezioni prese da MSN

wksvcsc.exe fà riferimento ad una specifica infezione, non sarà mica dappertutto

[wjmat]

gle appena un utente chiederà perchè non trova il file wksvcsc.exe veniamo a casa a prenderti ok??

[Gle89]

Io l'ho trovata in moltissime infezione quella voce e anche girando per il net vedo che è cosi...

Ad ogni modo forse è meglio rimettere in discussione la guida dato che qualcuno non sembra soddisfatto!

[Chill-Out]

Quote:

Originariamente inviato da Gle89

Io l'ho trovata in moltissime infezione quella voce e anche girando per il net vedo che è cosi...

Ad ogni modo forse è meglio rimettere in discussione la guida dato che qualcuno non sembra soddisfatto!

http://www.hwupgrade.it/forum/showpo...&postcount=483

[wjmat]

potresti lasciare la parte generica ed in fondo le varianti in base al tipo di infezione o casi particolari tutto qui

[xcdegasp]

fatta pulizia

[alex007_a]

ciao xcdegasp.. ti volevo chiedere.. se questa guida comprende la rimozione del mio tipo di virus...

[Chill-Out]

Quote:

Originariamente inviato da alex007_a

ciao xcdegasp.. ti volevo chiedere.. se questa guida comprende la rimozione del mio tipo di virus...

Se sei stato postato qui un motivo ci sarà

[xcdegasp]

come dicevo non è che sia chiaro se è riconducibile ad un infezione ma sicuramente è un buon punto di partenza

[Luka]

Grazie per la guida.

Vorrei chiedere alcune cose.
Come si fa a sapere se si è infetti?
Va eseguita tutta la procedura ad occhi chiusi senza sapere se si è infetti?

[Chill-Out]

Quote:

Originariamente inviato da Luka

Grazie per la guida.

Vorrei chiedere alcune cose.
Come si fa a sapere se si è infetti?
Va eseguita tutta la procedura ad occhi chiusi senza sapere se si è infetti?

Quote:

Guida alla rimozione di malware presi da MSN-Messenger
La grande popolarità che ricopre la rete MSN è la causa delle attenzioni da parte dei malwarewriter e sempre più spesso i worm inglobano meccanismi di infezioni che fanno leva sulla diffusione del contagio in questa rete.
Solitamente l'infezione è subordinata all'accettazione di archivi zippati contenenti eseguibili camuffati da pagina web o archivio fotografico che sono accompagnati da testo in lingua straniera.
Ultimamente le vittime vengono addescate da semplici link che portano a una pagina di login su server estranei a microsoft.com, pagina creata al solo scopo di rubare i dati di registrazione degli utenti

[xcdegasp]

Quote:

Originariamente inviato da Luka

Grazie per la guida.

Vorrei chiedere alcune cose.
Come si fa a sapere se si è infetti?
Va eseguita tutta la procedura ad occhi chiusi senza sapere se si è infetti?

se non ti piace la procedura potresti provare con quelle televendite di lettura delle carte

[Luka]

Scusate se mi sono permesso di chiedere.....

Chill-Out grazie ho letto ma purtroppo il pc è usato oltre che da me anche da i miei figli che usano esageratamente il messenger......

xcdegasp che simpatico mod...in futuro a zelig?

Procederò con la procedura dopo aver proceduto a farmi leggere le carte per sapere se i miei figli hanno mai cliccato su link o archivi "strani" e se il pc è infetto....avete qualche numero da consigliare?

[Egiziana]

Quote:

Originariamente inviato da Luka

....avete qualche numero da consigliare?

si una bella scansione con superantispyare per iniziare - scarica la versione free - http://www.superantispyware.com/supe...freevspro.html
e per finire una con il tuo antivirus aggiornato

[xcdegasp]

piuttosto seguiamo la guida visto che comunque da quella scansine del sas si passerebbe ad altre 5 matematiche...
se l'antivirus fosse così efficace avrebbe bloccato prima le minacce per questo cerchiamo "pareri esterni"