Considerazioni sull'efficacia di AV, firewall, etc

[gpc]

Premetto una cosa: sono incazzato come poche volte...
Oggi pomeriggio mi è andato in tilt il computer: all'improvviso mi sono comparse tre-quattro finestre di antivirus e antimalware su un elemento pericoloso, ogni programma apriva la finestra dell'autorizzazione del firewall, un'aggiornamento di flash che s'è installato da solo... io ho bloccato tutto e pensavo fosse finita lì. Dieci minuti dopo mi trovo l'antivirus disattivato, antimalware che non funziona più, riavvio e mi dà schermata blu con errore, ripristino, inizio a cercare e risulta che ho un rootkit win32.nonsocosa che da quello che dicono sui forum è impossibile da rimuovere completamente e l'unico modo per pulire il sistema è formattare.
Ora dico io, non mi considero utonto perchè MAI mi è arrivato un virus per allegati o file strani che io abbia installato, ho Avira aggiornato quotidianamente, firewall mio e firewall di windows, antimalware, ho la lan configurata per stare dietro un NAT dove decido io che porte arrivano al mio computer... e così di punto in bianco mi arriva una legnata del genere?
Ma allora tutti 'sti programmi di sicurezza funzionano o cosa? Mi arriva l'avviso, blocco tutto e questo s'installa ugualmente? E per di più risulta che pare essere impossibile da rimuovere?
Ora sono due ore che sto facendo girare programmi di pulizia, il Kaspersky TDSS (? si chiama così, boh, non ricordo) trova i due rootkit, li pulisce, riavvia e ci sono ancora, ora sto seguendo delle istruzioni su un altro forum, però dannazione, è la seconda volta che mi entrano porcherie così e non certamente per colpa mia. Sapete che pagina stavo guardando quando è scattato il finimondo? La pagina del meteo, che guardo tremila volte al giorno. Magari è stata una coincidenza, ma in ogni caso non sono abituato a girare in siti "strani".
Io non so veramente, di che cosa ci si deve dotare per evitare questi problemi? Io ho roba importante sul PC, non è che lo uso per giocare, ci lavoro tutti i giorni... e non mi posso permettere casini di questo tipo.
Sono veramente nero...

[Eress]

Non hai specificato nulla sul tuo OS e come sono le impostazioni di sicurezza interne, tipo di account con/senza privilegi limitati, UAC ecc.
Inoltre non dovrebbero esserci mai due firewall attivi contemporaneamente, anzi mi sembra strano che tu abbia potuto tenerli attivi senza conflitti

[gpc]

Beh l'intenzione era sfogare l'incazzatura -che persiste, dopo una notte di tentativi di togliere l'infezione le cose peggiorano ad ogni riavvio, perchè ora risulta infettato anche il modo sicuro che ieri funzionava e in modo normale ora IE ha smesso di funzionare ed è partito il redirezionamento delle pagine di google...
Comunque ho Win7, l'UAC è attivo, i rootkit sono Rootkit.Win32.Pmax.gen & Rootkit.Win32.Zaccess.exe.
Sono riuscito ad eliminare il Zaccess ma l'altro non c'è modo di levarlo. Ieri in modalità safe sono riuscito ad avviare l'anti-malware e sembrava avesse pulito il sistema, poi in realtà al riavvio è tornato tutto come prima e ora non funziona più nemmeno in safe. TDSSKiller trova il rootkit ma non lo riesce a togliere, in modo safe vedo il suo processo ma non c'è modo di terminarlo, nemmeno con pskill. Avira e Anti-malware li ho reinstallati da safe ma non partono. Ho provato Hijackthis e si chiude appena inizia a fare la scansione. Un disastro.
Ora ho scritto su un forum di quelli dove ti guidano passo passo per l'eliminazione ma cazzo, ci devo lavorare con il pc, non posso aspettare una settimana che mi rispondano...

[Eress]

Ok, hai dato un'occhiata a questo link

http://www.hwupgrade.it/forum/showthread.php?t=1599737

Potresti anche procedere in maniera più efficace alla rimozione dall'esterno del sistema con HirensCD

http://www.hirensbootcd.org/download/

[gpc]

beh e adesso? non riesco più a postare sul forum...??

[gpc]

Oh quello è partito... che fosse il testo del messaggio che gli dava fastidio?

Incredibile, un testo diverso me lo prende, se rimetto il messaggio che avevo scritto il forum non risponde...

[gpc]

Proviamo a metterlo come codice... nemmeno.
come quote... no.
Cambiando qualcosa... no.
Provo a pezzi...

no non avevo guardato, ma da quello che leggo questo virus è molto rognoso e le procedure generiche non vanno, tanto che ripeto, risulta impossibile eseguire antivirus, firewall, anti-malware, Hijackthis, etc.

[gpc]

Ok il primo pezzo sì, vediamo il secondo...
Che forte, c'è qualcosa scritto in queste quattro righe che non riesco a mandare che mi impedisce di inviare il post.

Proviamo un pezzetto solo...

Ho provato ad eseguire uno scan con antimalware da XP che ho su un'altra partizione e non ha trovato niente,

[gpc]

anche perchè ho idea che per via dei permessi dei file non riesca ad aprire tutti i file di sistema di Windows 7.

[gpc]

Allucinante, se il post contiene la frase "o r a g u a r d o i l l i n k d i q u e l c d" non me lo fa inviare...

[nV 25]

fatti 1 giro di Hitman Pro, http://www.surfright.nl/en/downloads/...

[commi]

@ gpc
Considerata tale esperienza negativa, al di là dell'efficacia delle varie soluzioni antivirus/antimalware che girano in realtime, perchè non affidarsi ad un software di imaging tipo Acronis True Image? In queste occasioni questo tipo di software diviene davvero indispensabile

Quote:

Originariamente inviato da Eress

....Inoltre non dovrebbero esserci mai due firewall attivi contemporaneamente, anzi mi sembra strano che tu abbia potuto tenerli attivi senza conflitti

Non sarei così categorico, da me, infatti, convivono da anni comodo firewall e malware defender (con firewall attivo) senza problemi

[gpc]

Che fa questo Acronis True Image?

[marcoesse]

Quote:

Originariamente inviato da gpc

Comunque ho Win7, l'UAC è attivo, i rootkit sono Rootkit.Win32.Pmax.gen & Rootkit.Win32.Zaccess.exe.

scusa se Ti chiedo ulteriori info
ma è per sapere come possa essere successo
Win7 è 64 bit?
l'Uac era al max?


per gli AV & C magari erano/sono zero day
ma dal SO non hai avuto nessun segnale pop up o altro
grazie
marco

[gpc]

Quote:

Originariamente inviato da marcoesse

scusa se Ti chiedo ulteriori info
ma è per sapere come possa essere successo
Win7 è 64 bit?
l'Uac era al max?


per gli AV & C magari erano/sono zero day
ma dal SO non hai avuto nessun segnale pop up o altro
grazie
marco

Ah guarda non ne ho idea di come possa essere successo.
Io ho il sospetto che sia arrivato tramite una pagina infetta, che non era niente di che, perché era la pagina delle webcam del meteo.
Win7 è a 32bit, l'UAC ora non so se fosse al massimo o normale, fatto sta che ogni programma che installo mi salta sempre fuori la finestra di dargli il permesso per effettuare modifiche, per cui dovrebbe star bene.
Avira e Comodo erano aggiornatissimi, Avira s'aggiorna giornalmente, per cui...
Io non so se la visita alla pagina sia stata una casualità e il virus ci fosse già da prima, però appena ho aperto la pagina è successo questo:
- l'HD del pc ha iniziato a girare selvaggiamente
- all'improvviso sono apparse tre segnalazioni da Avira di un file bloccato
- contemporaneamente l'avviso di Comodo di una applicazione malevola bloccata
- una richiesta di aggiornamento di Flash che avrei ignorato se non fosse che non mi lasciava usare il computer perchè appartiva costantemente chiedendomi l'autorizzazione per aggiornare, quindi alla fine l'ho aggiornata e dopo un po' c'è stato il disastro.
Io mi sono fatto l'idea che probabilmente il malware è entrato tramite un buco di flash e una pagina infettata, si è infilato dentro l'aggiornamento e ha usato i permessi dell'aggiornamento per installarsi. E una volta dentro, non c'è modo di toglierlo...
Tra l'altro sto seguendo le procedure che mi stanno indicando su un altro forum e anche lì sono sorpresi perchè programmi che normalmente funzionano vengono bloccati e neutralizzati (cioè li lanci, appena tentanto di mettere mano al processo del virus vengono chiusi, gli vengono cambiati i permessi perchè non si possano più avviare e anche se si riesce a riavviarli, vengono terminati appena si mettono a lavorare).
Nel frattempo è tutto morto, antivirus, antispyware, antimalware, firewall, tutto disabilitato.

[marcos86]

il sito era ilmeteo.it?
perchè, sarà un caso, ma anche qualcuno che conosco ha preso virus tramite quel sito...

E tieni conto che i rootkit sono tra le peggiori bestie, sono fatti apposta per essere difficili da eliminare.
Aggiungo pure io che 2 firewall attivi non ha senso, o tieni il firewall di win 7, o lo sostituisci. Non entrambe le cose. Come per gli antivirus.

Prova con hitman pro come ti ha già suggerito nv25

PS: l'uac cmq dà avvisi, ma se non è al massimo tanto vale disattivarlo perchè facilmente bypassabile

[gpc]

Quote:

Originariamente inviato da marcos86

il sito era ilmeteo.it?
perchè, sarà un caso, ma anche qualcuno che conosco ha preso virus tramite quel sito...

E tieni conto che i rootkit sono tra le peggiori bestie, sono fatti apposta per essere difficili da eliminare.
Aggiungo pure io che 2 firewall attivi non ha senso, o tieni il firewall di win 7, o lo sostituisci. Non entrambe le cose. Come per gli antivirus.

Prova con hitman pro come ti ha già suggerito nv25

Avevo guardato anche quel sito, però in quel momento stavo guardando le webcam della Sierra Nevada (vivo a Granada...).
Per ora non provo altro perchè sull'altro forum mi stanno guardando i log e dicono di non fare nulla altrimenti gli si incasina il lavoro, comunque nel caso poi tento.
In realtà io il firewall di Win7 l'avevo disabilitato, cioè, nel momento in cui installi Comodo si disabilita. Di antivirus chiaramente ne ho uno solo, che è l'Avira, poi Comodo fa anche da controllo di malware e cose simili...

Cioè a me quello che da veramente fastidio è che quest'anno mi sono entrati tre rootkit, e tengo tutto aggiornato, AV, plugin, browser e quant'altro, eppure non serve a niente. I primi due sono riuscito a torglierli e con questo pare che formattare sia l'unica soluzione. Io ci lavoro con il PC, non è che possa avere 'sti casini e dover cancellare tutto, i dati magari li riesco anche a salvare, però la perdita di tempo è enorme. Cosa bisogna fare, andare su internet solo in macchina virtuale per evitare di avere problemi? Andiamo, è una follia.
Vabbè che alla fine questo mi serve da scusa per passare al 64bit e mettere un secondo HD sul portatile che è da quest'estate che ci vado dietro e non ho tempo di farlo, ora ho ordinato un SSD e credo che ne approfitterò per aprire il portatile, installare il secondo cavo per l'HD e il supporto, l'HD, metterci Win7 64bit e reinstallare tutto... però cazzo, per questa rogna dovevo finire un programma questo fine settimana e ora c'è gente che è nei casini perchè non posso farlo...

[marcos86]

Quote:

Originariamente inviato da gpc

Cosa bisogna fare, andare su internet solo in macchina virtuale per evitare di avere problemi? Andiamo, è una follia.

Sarebbe una follia se non esistesse sandboxie http://www.sandboxie.com/
potrebbe fare proprio al caso tuo
qui la discussione ufficiale http://www.hwupgrade.it/forum/showthread.php?t=1570797

oppure visti i tuoi problemi potresti anche pensare a una protezione "diversa" come quella di defensewall http://www.softsphere.com/ (per ora però supporta solo i sistemi a 32bit)
se ne parla qui http://www.hwupgrade.it/forum/showthread.php?t=1064733

[commi]

Quote:

Originariamente inviato da gpc

Che fa questo Acronis True Image?

Scusami se non ho chiarito a dovere, il mio consiglio è per il 'dopo' aver risolto l'attuale infezione. Al momento devi affidarti alle soluzioni che ti hanno consigliato gli altri utenti.

Riguardo True Image, per farla breve, è un software di disk imaging, nel senso che una volta che hai configurato il pc ed installato le applicazioni di cui hai bisogno, fai un'immagine dell'HD o partizione attiva e la salvi in un'altra partizione, hd esterno ecc. per poi ripristinarla in caso di problemi, anche tramite un cd di avvio appositamente creato o chiavetta USB. True Image è a pagamento, ma esistono anche programmi freeware come Macrium Reflect.

[commi]

Quote:

Originariamente inviato da marcos86

...Aggiungo pure io che 2 firewall attivi non ha senso, o tieni il firewall di win 7, o lo sostituisci. Non entrambe le cose. Come per gli antivirus.

Mi ritengo, allora, l'eccezione che conferma la regola