xcdegasp
27-05-2008, 00:17
Guida alla rimozione di malware presi da MSN-Messenger
La grande popolarità che ricopre la rete MSN è la causa delle attenzioni da parte dei malwarewriter e sempre più spesso i worm inglobano meccanismi di infezioni che fanno leva sulla diffusione del contagio in questa rete.
Solitamente l'infezione è subordinata all'accettazione di archivi zippati contenenti eseguibili camuffati da pagina web o archivio fotografico che sono accompagnati da testo in lingua straniera.
Ultimamente le vittime vengono addescate da semplici link che portano a una pagina di login su server estranei a microsoft.com, pagina creata al solo scopo di rubare i dati di registrazione degli utenti :)
Di seguito viene proposta una prima metodologia di approccio alla disinfezione atta ad analizzare la situazione in cui versa attualmente il pc.
PRIMA ANALISI - PRELIMINARE
Disattivate il ripristino di sistema fino a che non sarete stati completamente disinfestati:
--> metodo per winXP
Fare clic su Start-> Programmi->Accessori->Esplora risorse.
Fare clic con il pulsante destro del mouse sull'icona Risorse del computer e quindi su Proprietà.
Selezionare la scheda "Ripristino configurazione di sistema".
Selezionare la voce "Disattiva ripristino configurazione di sistema"
Premere OK. Verrà richiesto di confermare l'azione in quanto saranno eliminati tutti i punti di ripristino memorizzati. Confermare premendo SI.
http://www.sicurezzainrete.com/images/system_restore_xp_small.jpg (http://www.sicurezzainrete.com/images/system_restore_xp.jpg)
--> metodo per Win-Vista
Per attivare o disattivare Protezione sistema
Per aprire Sistema, fare clic sul pulsante StartImmagine del pulsante Start, scegliere Pannello di controllo, Sistema e manutenzione e quindi Sistema.
Nel riquadro sinistro fare clic su Protezione sistema. Autorizzazioni di amministratore necessarie Se viene chiesto di specificare una password di amministratore o di confermare, digitare la password o confermare.
Per disattivare Protezione sistema per un disco rigido, deselezionare la casella di controllo visualizzata accanto al disco e quindi fare clic su OK.
Scaricare ed eseguire ATF-Cleaner (http://www.snapfiles.com/download/dlatfcleaner.html) seguendo queste brevi indicazioni (non richiede installazione):
nella finestra che si è aperta contrassegnare "Select All", poi clickare sul menù "Firefox" e contrassegnare "Select All" e procedere nello stesso modo anche nel menù "Opera", infine premere "Empty Selected";
ADS Scanner 2.0 -> download (http://www.pointstone.com/products/ADS-Scanner/), selezionare "Find ADS on all NTFS drives" e lasciare attivata "Ignore safe ADS content", quindi clickare su "Scan" e a fine scansione clickare con il tasto destro del mouse su una delle voci in elenco e selezionare "Check all" poi cliccare su "Remove Selected stream" ed infine "Yes".
_ sistema alternativo: aprire HiJackThis poi cliccare "open the misc tools section" andare in "open ads spy" levare la spunta a "quick scan" e infine avviare la scansione clickando sul tasto "scan".
non è necessario pubblicare questo log
MSNFix (no Vista-64bit) -> download (http://sosvirus.changelog.fr/MSNFix.zip) scompattare lo zip in una directory esclusiva creata precedentemente all'interno dell'hardisk, eseguire MSNfix.bat quindi digitare "I" per impostare la lingua e premere invio, premere "R" per eseguire la scansione del pc, premere "N" per eliminare cio che trova, premere "A" per salvare il log che bisogna poi pubblicare, premere "R" per ripulire il registro ed infine premere "Q" per uscire dal programma.
_ sistema alternativo (no Vista-64bit): Kaspersky Virus Removal Tool guida e link al download (http://www.hwupgrade.it/forum/showthread.php?t=1631690)
_ compatibilità Vista 64bit: Eset Online Scanner (http://www.eset.com/onlinescan/index.php)
gli oggetti individuati devono essere messi in quarantena, non c'è nessuna fretta di eliminarli!!
MsnCleaner -> Download (clickare su "Téléchargez Maintenant") (http://www.zolexlive.com/Downloads/p13_sectionid/17/p13_fileid/224)
scompattare lo zip in una directory esclusiva creata precedentemente all'interno dell'hardisk, all'esecuzione impostare la lingua italiana, chiudere tutte le finestre del browser, clickare su "Analizza". Al termine della scansione selezionare tutti gli oggetti rilevati e premere "Cancella" per eseguire la pulizia infine premere su "Report" e salvare il file di testo che verrà mostrato per poi pubblicarlo nel therad (= discussione);
Clean Virus MSN -> Download (clickare su "Téléchargez Maintenant") (http://www.zolexlive.com/Downloads/p13_sectionid/30/p13_fileid/263)
scompattare lo zip in una directory esclusiva creata precedentemente all'interno dell'hardisk e seguire le istruzioni a video
A-Squared Free v3.x (eseguite l'aggiornamento riavviate windows e poi eseguite la scansione DEEP) -> download (http://download5.emsisoft.com/a2FreeSetup.exe) | guida (http://www.hwupgrade.it/forum/showpost.php?p=19072773)
_ esiste anche la versione che non richiede installazione: a-squared Command Line Scanner -> download (http://download1.emsisoft.com/a2cmd.zip) | guida (http://www.hwupgrade.it/forum/showpost.php?p=19072773&postcount=31)
è da eseguire da linea di comando utile anche su pc in cui non si gode di privilegi di utenza d'Amministratore.
a fine scansione premere "sposta in Quarantena" e poi "Salva Rapporto" quindi pubblicare questo rapporto (= log)
HiJackThis -> download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
per farsi analizzare il log usare HiJackThis - Analisi Log - leggere Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=937676) o potete analizzarlo in autonomia grazie a Questa Guida (http://www.hwupgrade.it/forum/showthread.php?t=734483)
si raccomanda di scompattare HiJackThis in una directory esclusiva, quindi non sul desktop!
PrevxCSI -> download (http://www.prevx.com/freescan.asp) | guida (http://www.hwupgrade.it/forum/showthread.php?t=1680806) (necessita di connessione internet)
a fine scansione eseguire una stampa del monitor o della finestra di Prevx
i log è caldamente consigliato inviarli su uno dei tanti server free che permettano l'hosting temporaneo di file come ad esempio quelli consigliati dalle Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) infine copiare il link per il download e pubblicarlo nel forum nel proprio messaggio. si consiglia di riunire i link in un unico messaggio per evitare dispersione.
corredare il proprio messaggio oltre che dai log anche dal maggior numero di dettagli possibili riguardanti l'infezione del proprio pc, indicando il sistema operativo sul quale si richiede assistenza e attendere una risposta
Procedure veloci su determinati virus che sfruttano msn
per caso si è presentato come "questa è la tua foto?" e link di seguito?
nel caso affermativo la cosa è veloce da sistemare:
apri il task-manager (ctrl + alt + canc) e termina il processo "wksvcsc.exe"
fatto questo apri regedit (start -> esegui..: -> regedit -> invio ) e posizionati nella stringa
"HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/
quindi nella finestra di destra individua la chiave:
"UDP di controllo di Windows Servizio"
contenete il riferimento all'eseguibile che abbiamo stoppato prima, quindi elimina la chiave :)
La grande popolarità che ricopre la rete MSN è la causa delle attenzioni da parte dei malwarewriter e sempre più spesso i worm inglobano meccanismi di infezioni che fanno leva sulla diffusione del contagio in questa rete.
Solitamente l'infezione è subordinata all'accettazione di archivi zippati contenenti eseguibili camuffati da pagina web o archivio fotografico che sono accompagnati da testo in lingua straniera.
Ultimamente le vittime vengono addescate da semplici link che portano a una pagina di login su server estranei a microsoft.com, pagina creata al solo scopo di rubare i dati di registrazione degli utenti :)
Di seguito viene proposta una prima metodologia di approccio alla disinfezione atta ad analizzare la situazione in cui versa attualmente il pc.
PRIMA ANALISI - PRELIMINARE
Disattivate il ripristino di sistema fino a che non sarete stati completamente disinfestati:
--> metodo per winXP
Fare clic su Start-> Programmi->Accessori->Esplora risorse.
Fare clic con il pulsante destro del mouse sull'icona Risorse del computer e quindi su Proprietà.
Selezionare la scheda "Ripristino configurazione di sistema".
Selezionare la voce "Disattiva ripristino configurazione di sistema"
Premere OK. Verrà richiesto di confermare l'azione in quanto saranno eliminati tutti i punti di ripristino memorizzati. Confermare premendo SI.
http://www.sicurezzainrete.com/images/system_restore_xp_small.jpg (http://www.sicurezzainrete.com/images/system_restore_xp.jpg)
--> metodo per Win-Vista
Per attivare o disattivare Protezione sistema
Per aprire Sistema, fare clic sul pulsante StartImmagine del pulsante Start, scegliere Pannello di controllo, Sistema e manutenzione e quindi Sistema.
Nel riquadro sinistro fare clic su Protezione sistema. Autorizzazioni di amministratore necessarie Se viene chiesto di specificare una password di amministratore o di confermare, digitare la password o confermare.
Per disattivare Protezione sistema per un disco rigido, deselezionare la casella di controllo visualizzata accanto al disco e quindi fare clic su OK.
Scaricare ed eseguire ATF-Cleaner (http://www.snapfiles.com/download/dlatfcleaner.html) seguendo queste brevi indicazioni (non richiede installazione):
nella finestra che si è aperta contrassegnare "Select All", poi clickare sul menù "Firefox" e contrassegnare "Select All" e procedere nello stesso modo anche nel menù "Opera", infine premere "Empty Selected";
ADS Scanner 2.0 -> download (http://www.pointstone.com/products/ADS-Scanner/), selezionare "Find ADS on all NTFS drives" e lasciare attivata "Ignore safe ADS content", quindi clickare su "Scan" e a fine scansione clickare con il tasto destro del mouse su una delle voci in elenco e selezionare "Check all" poi cliccare su "Remove Selected stream" ed infine "Yes".
_ sistema alternativo: aprire HiJackThis poi cliccare "open the misc tools section" andare in "open ads spy" levare la spunta a "quick scan" e infine avviare la scansione clickando sul tasto "scan".
non è necessario pubblicare questo log
MSNFix (no Vista-64bit) -> download (http://sosvirus.changelog.fr/MSNFix.zip) scompattare lo zip in una directory esclusiva creata precedentemente all'interno dell'hardisk, eseguire MSNfix.bat quindi digitare "I" per impostare la lingua e premere invio, premere "R" per eseguire la scansione del pc, premere "N" per eliminare cio che trova, premere "A" per salvare il log che bisogna poi pubblicare, premere "R" per ripulire il registro ed infine premere "Q" per uscire dal programma.
_ sistema alternativo (no Vista-64bit): Kaspersky Virus Removal Tool guida e link al download (http://www.hwupgrade.it/forum/showthread.php?t=1631690)
_ compatibilità Vista 64bit: Eset Online Scanner (http://www.eset.com/onlinescan/index.php)
gli oggetti individuati devono essere messi in quarantena, non c'è nessuna fretta di eliminarli!!
MsnCleaner -> Download (clickare su "Téléchargez Maintenant") (http://www.zolexlive.com/Downloads/p13_sectionid/17/p13_fileid/224)
scompattare lo zip in una directory esclusiva creata precedentemente all'interno dell'hardisk, all'esecuzione impostare la lingua italiana, chiudere tutte le finestre del browser, clickare su "Analizza". Al termine della scansione selezionare tutti gli oggetti rilevati e premere "Cancella" per eseguire la pulizia infine premere su "Report" e salvare il file di testo che verrà mostrato per poi pubblicarlo nel therad (= discussione);
Clean Virus MSN -> Download (clickare su "Téléchargez Maintenant") (http://www.zolexlive.com/Downloads/p13_sectionid/30/p13_fileid/263)
scompattare lo zip in una directory esclusiva creata precedentemente all'interno dell'hardisk e seguire le istruzioni a video
A-Squared Free v3.x (eseguite l'aggiornamento riavviate windows e poi eseguite la scansione DEEP) -> download (http://download5.emsisoft.com/a2FreeSetup.exe) | guida (http://www.hwupgrade.it/forum/showpost.php?p=19072773)
_ esiste anche la versione che non richiede installazione: a-squared Command Line Scanner -> download (http://download1.emsisoft.com/a2cmd.zip) | guida (http://www.hwupgrade.it/forum/showpost.php?p=19072773&postcount=31)
è da eseguire da linea di comando utile anche su pc in cui non si gode di privilegi di utenza d'Amministratore.
a fine scansione premere "sposta in Quarantena" e poi "Salva Rapporto" quindi pubblicare questo rapporto (= log)
HiJackThis -> download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
per farsi analizzare il log usare HiJackThis - Analisi Log - leggere Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=937676) o potete analizzarlo in autonomia grazie a Questa Guida (http://www.hwupgrade.it/forum/showthread.php?t=734483)
si raccomanda di scompattare HiJackThis in una directory esclusiva, quindi non sul desktop!
PrevxCSI -> download (http://www.prevx.com/freescan.asp) | guida (http://www.hwupgrade.it/forum/showthread.php?t=1680806) (necessita di connessione internet)
a fine scansione eseguire una stampa del monitor o della finestra di Prevx
i log è caldamente consigliato inviarli su uno dei tanti server free che permettano l'hosting temporaneo di file come ad esempio quelli consigliati dalle Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) infine copiare il link per il download e pubblicarlo nel forum nel proprio messaggio. si consiglia di riunire i link in un unico messaggio per evitare dispersione.
corredare il proprio messaggio oltre che dai log anche dal maggior numero di dettagli possibili riguardanti l'infezione del proprio pc, indicando il sistema operativo sul quale si richiede assistenza e attendere una risposta
Procedure veloci su determinati virus che sfruttano msn
per caso si è presentato come "questa è la tua foto?" e link di seguito?
nel caso affermativo la cosa è veloce da sistemare:
apri il task-manager (ctrl + alt + canc) e termina il processo "wksvcsc.exe"
fatto questo apri regedit (start -> esegui..: -> regedit -> invio ) e posizionati nella stringa
"HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/
quindi nella finestra di destra individua la chiave:
"UDP di controllo di Windows Servizio"
contenete il riferimento all'eseguibile che abbiamo stoppato prima, quindi elimina la chiave :)