Faccio un riassunto, con [Claudio] e The Walking Dead stiamo provando a preparare l'articolo su:
Guida definitiva: procedura TurboLab.it per provare a rimuovere da soli qualsiasi malware
Indicando una scaletta di programmi da utilizzare, suggerimenti per cose da fare durante la pulizia e dopo per non ricaderci più.
Per il momento abbiamo scelto com programmi Ccleaner, TdssKiller, Adwcleaner, HitmanPro, Hijackthis, malwarebytes, Kaspersky Removal Tool e Kaspersky Rescue Kit.
Il tutto da usare a seconda dei malware che hanno infettato il computer.
Più tardi arriveranno gli altri due autori per prendere accordi e discutere l'impostazione dell'articolo.
Tutti sono liberi di intervenire per commentare e migliorare l'articolo.
La più grande lezione nella vita è sapere che anche i pazzi, alle volte, hanno ragione.
Vogliamo limitare il numero di programmi al minimo indispensabile.
Per quello è stato scartato Emsisoft Emergency Kit, alla fine malwarebytes e hitmanpro fanno lo stesso lavoro.
La più grande lezione nella vita è sapere che anche i pazzi, alle volte, hanno ragione.
[Claudio] ha scritto:@Hash, troppa carne al fuoco per una semplice guida di base (che è ciò che stiamo predisponendo)
Se si tratta di una guida di base sono d'accordo con la tua affermazione, forse ho capito male, ma non mi sembrava che l'articolo sarebbe rimasto su un piano "elementare":
crazy.cat ha scritto:Guida definitiva: procedura TurboLab.it per provare a rimuovere da soli qualsiasi malware
P.S.: Fra gli strumenti da me nominati, alcuni presentano un utilizzo immediato e non richiedono particolari conoscenze specifiche.
hashcat ha scritto: Fra gli strumenti da me nominati, alcuni presentano un utilizzo immediato e non richiedono particolari conoscenze specifiche.
Alcuni non li conosco; ti invierò un PM per chiederti info.
Comunque come potrai constare, si tratta solo di una guida in cui vengono indicate linee generali di PRIMO INTERVENTO che coprono, comunque, una larghissima percentuale di virus e malware.
Se un utente non risolve, si può passare ad altro proponendo ulteriori tre opzioni: Combofix, Kaspersky Virus Removal Tool, Kaspersky Rescue Disk 10; se anche queste falliscono, la soluzione finale: il format
Aggiungo qualche ulteriore considerazione personale.
Per Combofix potrei anche essere d'accordo, come ultima possibilità e con nota di attenzione, sapete invece che sono personalmente contrario ad
Emsisoft.
@ crazy.
Su Ghostsery dicevi di tenerlo in prova.
Nel caso decidessimo di non usarlo allora io opterei per la lista di Adblock Plus, che dovrebbe avere similitudini con Ghost.
PS: il Kaspersky Removal Tool e il Kaspersky Rescue Disk non sono in un certo qual modo dei doppioni?
Ovvero ciò che trova e rimuove l'uno, non rimuove anche l'altro?
Se come cd di boot usassimo quello di Bit Defender e come scansione il Kaspersky Removal Tool avremmo due diversi pareri.
È solo un idea che porto alla vostra attenzione per le valutazioni del caso.
Allora @Crazy e @Dead e tutti coloro che vorranno partecipare: intanto ho pensato di dividere (PER QUESTA DISCUSSIONE intendo) la bozza in diverse PARTI, in maniera da analizzarle per bene; una volta definita una PARTE, pubblicherò la SECONDA e cosi via fino alla conclusione.
Naturalmente sono graditi ed accettati tutti i suggerimenti del caso, sia in relazione ai software che all'ordine di esecuzione, ecc.
Per ora, quindi, mi limito alla parte principale, ovvero la procedura che avremmo pensato di proporre (le note in rosso si riferiscono a questioni di cui si è discusso in PM, non ancora definite).
PROCEDURA STANDARD (da eseguire nell’ordine proposto):
1) scompattare l’archivio ed aprire la cartella che verrà creata;
A) se la piattaforma è 32 Bit, cliccare su CCLEANER.EXE;
B) se la piattaforma è 64 Bit, cliccare su CCLEANER64.EXE;
2) cliccare su YES (Recommended) alla richiesta che verrà proposta;
3) cliccare su OPTIONS, scegliere SETTING e impostare la lingua in ITALIANO;
4) cliccare su AVANZATE e togliere la spunta alla SECONDA VOCE (Cancella file in Windows Temp solo se più vecchi di 24 ore);
5) cliccare su AVVIA PULIZIA e attendere il completamento dell’operazione.
Maggiori informazioni su CCLEANER sono reperibili in questo articolo.
Nota: per quanto riguarda CCLEANER è pendente una osservazione di @Dead, in merito alla versione: viene suggerita la versione installabile in luogo di quella portable, tenendo conto del fatto della utilità intrinseca del software in questione, una volta installato sul computer.
Scaricare KASPERSKY TDSSKILLER.
1) tasto destro del mouse sull’icona e scegliere ESEGUI COME AMMINISTRATORE;
2) cliccare sulla voce CHANGE PARAMETRERS, nella sezione ADDITIONAL OPTIONS mettere il segno di spunta a entrambe le voci e confermare con OK;
3) avviare la scansione (START SCAN);
4) salvare il Report rilasciato (reperibile in Disco Locale (C:).
Maggiori informazioni su KASPERSKY TDSSKILLER sono reperibili in questo articolo.
Scaricare ADWCLEANER.
1) avviare il programma, cliccare sul tasto SEARCH;
2) attendere il termine della scansione e cliccare sul tasto ELIMINA;
Salvare il report [S1] rilasciato dopo l’eliminazione.
Maggiori informazioni su ADWCLEANER sono reperibili in questo articolo.
Scegliendo la VERSIONE ADATTA alla piattaforma del proprio sistema, scaricare:
A) HITMANPRO versione per sistemi 32 Bit;
B) HITMANPRO versione per sistemi 64 Bit;
1) non modificare le impostazioni di default;
2) avviare la scansione (è richiesta la connessione attiva);
Salvare il report rilasciato.
Maggiori informazioni su HITMANPRO sono reperibili in questo articolo.
Scaricare: MALWAREBYTES.
1) impostare la SCANSIONE COMPLETA e avviare la scansione;
2) al termine eliminare tutto ciò che verrà rilevato;
Salvare il report rilasciato.
Maggiori informazioni su MALWAREBYTES sono reperibili in questo articolo.
Nota: per quanto riguarda MBAM è pendente una osservazione di @Crazy, in merito all'inserimento della raccomandazione di aggiornare il software prima di eseguire la scansione.
E' da precisare che l'aggiornamento delle firme viene eseguito automaticamente durante l'installazione del software, quindi non è necessario ai fini della prima scansione (quella che è richiesta).
Il fatto che, in assenza di licenza, il software non aggiorni in automatico (quindi deve essere eseguito manualmente prima di una scansione) ritengo sia più utile segnalarlo nell'articolo (cosa che credo sia stata fatta) più che nella guida.
Da Internet Explorer, scaricare e installare le versioni più recenti (non installare i componenti aggiuntivi che vengono proposti) di:
1) ADOBE FLASH PLAYER: cliccare qui;
2) JAVA: cliccare qui; (prima di installare la nuova versione di JAVA, disinstallare tutte le versioni eventualmente presenti).
3) se si utilizza ADOBE READER come lettore PDF, è necessario (se non già fatto) installare la versione più recente del software: cliccare qui.
Se dopo il riavvio non si riscontrano problemi ( ESCLUSIVAMENTE IN QUESTO CASO, ALTRIMENTI NON ESEGUITE IL PAGGAGGIO PROPOSTO):
1) Disattivate IL RIPRISTINO CONFIGURAZIONE SISTEMA (questo passaggio rimuoverà tutti i punti di ripristino disponibili e nei quali si potrebbe essere insediato malware):
a) Istruzioni per: WINDOWS XP;
b) Istruzioni per: WINDOWS VISTA;
c) Istruzioni per: WINDOWS 7.
2) RIAVVIATE il computer, ripetete il passaggio precedente e seguire le istruzioni per riabilitare il RIPRISTINO CONFIGURAZIONE DI SISTEMA.
3) RIAVVIATE il computer, per generare un nuovo punto di ripristino pulito.
ALLEGATE I REPORT SALVATI: pubblicazione nella ..... INSERIRE LINK DISCUSSIONE/SEZIONE FORUM ..... e INSERIRE LE MODALITA’.
Ultima modifica di [Claudio] il mar set 10, 2013 5:15 pm, modificato 2 volte in totale.
@ Claudio.
Come detto per me ok. possiamo rifinirla ma i principi di base che volevamo esprimere sono quelli.
PS: se per aggiornare i software Adobe e Java consigliassimo Secunia PSI, invece che farglieli aggiornare manualmente?
Il motivo è che Secunia aggiornerebbe anche il resto dei software sul loro sistema.
Come sempre è solo un idea, per capire anche voi cosa ne pensate.
The Walking Dead ha scritto:Per Combofix potrei anche essere d'accordo, come ultima possibilità e con nota di attenzione, sapete invece che sono personalmente contrario ad
Emsisoft.
Combofix io lo lascerei fuori, non mi fido più di tanto, Emsisoft lo avevamo già scartato.
Su Ghostsery dicevi di tenerlo in prova.
Io lo avrei proprio scartato, deluso abbastanza. Si adblock.
PS: il Kaspersky Removal Tool e il Kaspersky Rescue Disk non sono in un certo qual modo dei doppioni?
Il Removal Tool lo usi sei vuoi andare a caccia di qualche virus con il sistema attivo, il Rescue Disk lo usi con windows bloccato non è che devi usarli per forza tutti e due.
Se come cd di boot usassimo quello di Bit Defender e come scansione il Kaspersky Removal Tool avremmo due diversi pareri.
Possiamo anche cambiare cd, solo che l'articolo del Rescue Disk è già pronto, gli altri dovrei farli e in questo momento non sono sicuro di riuscirci (almeno per qualche giorno).
[Claudio] ha scritto:Nota: per quanto riguarda CCLEANER è pendente una osservazione di @Dead, in merito alla versione: viene suggerita la versione installabile in luogo di quella portable, tenendo conto del fatto della utilità intrinseca del software in questione, una volta installato sul computer.
Penso che alla fine sia abbastanza indifferente se guardiamo allo scopo finale dell'articolo che è fare pulizia.
E' da precisare che l'aggiornamento delle firme viene eseguito automaticamente durante l'installazione del software, quindi non è necessario ai fini della prima scansione (quella che è richiesta).
Non mi ricordavo che lo facesse in automatico, mi sembrava che lo chiedesse di aggiornare quando lo avviavi per la prima volta, se l'aggiornamento è automatico ritiro la mia osservazione.
La più grande lezione nella vita è sapere che anche i pazzi, alle volte, hanno ragione.
Ultima aggiunta: Security Check (mi ero dimenticato il nome dello strumento).
A seguire un log "dimostrativo" generato dal suddetto:
Results of screen317's Security Check version 0.99.53
Windows 7 Service Pack 1 x64 (UAC is disabled!)
Internet Explorer 9 ``````````````Antivirus/Firewall Check:``````````````
AVG Internet Security 2012
Antivirus up to date! `````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware versione 1.65.1.1000
AVG PC Tuneup
Java(TM) 6 Update 37 Java version out of Date!
Adobe Flash Player 11.4.402.287
Adobe Reader X 10.1.3 Adobe Reader out of Date!
Mozilla Firefox 15.0.1 Firefox out of Date!
Google Chrome 21.0.1180.83
Google Chrome 21.0.1180.89
Google Chrome 22.0.1229.79
Google Chrome 22.0.1229.92
Google Chrome 22.0.1229.94 ````````Process Check: objlist.exe by Laurent````````
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
AVG avgwdsvc.exe
AVG avgtray.exe
Malwarebytes' Anti-Malware mbamscheduler.exe `````````````````System Health check`````````````````
Total Fragmentation on Drive C: 0% ````````````````````End of Log``````````````````````
[Claudio] ha scritto:Da Internet Explorer, scaricare e installare... [cut]
Come mai raccomandi di utilizzare IE e non il proprio browser di riferimento?
Perchè come Chrome anche Firefox (e credo anche Opera) ha un suo flash player interno e spero un gestore Java (che detto per inciso disabiliterei).
Il problema permane per IE dove è necessario installare i due plug-in (super soggetti a vulnerabilità)
@ Claudio.
Si l'ordine mi convince, magari comunque rileggo la guida e nel caso aggiungo qualcosa su questo punto.
Però secondo me va bene.
Per Secunia\Sumo.
Preferisco anche io Sumo.
Però Secunia aggiorna i software in automatico, al contrario di Sumo che richiede manualità.
Si potrebbe lasciare anche cosi come è ora.
Sui cd di boot mi fido del vostro parere.
Su Disconnect non è che mi convinca molto sinceramente.
Io restringerei la scelta ad uno tra Ghost e ADB.
PS: non credo che Chrome, Opera e Firefox abbiano un gestore Java.
E credo neanche un flash interno (tranne Chrome) sbaglio?
The Walking Dead ha scritto:@ Claudio.
Si l'ordine mi convince, magari comunque rileggo la guida e nel caso aggiungo qualcosa su questo punto.
Però secondo me va bene.
Sono di corsa: @dead, già che si sei, puoi ricontrollare anche tutti i link, per piacere?.
Per Secunia\Sumo. Preferisco anche io Sumo. Però Secunia aggiorna i software in automatico, al contrario di Sumo che richiede manualità. Si potrebbe lasciare anche cosi come è ora.
Vediamo, se lo ritenete necessario, possiamo sempre trattare la cosa nella parte generale.
Su Disconnect non è che mi convinca molto sinceramente. Io restringerei la scelta ad uno tra Ghost e ADB.
Chiudiamo la questione, vada per la list di ADBlock.
PS: non credo che Chrome, Opera e Firefox abbiano un gestore Java.
E credo neanche un flash interno (tranne Chrome) sbaglio?
Mi riferivo alla gestione di JAVAscript …… su Chorme funziona egregiamente (e comunque penso sia disponibile anche su Firefox);
Per il flash interno, se non sbaglio dall’ultima versione (o addirittura dalla penultima) dovrebbe essere integrato anche in Firefox.
Tecnicamente, chi non utilizza Internet Explorer (escluso Windows XP) potrebbe anche fare a meno di installare quel colabrodo che sono Flash Player e Java (infatti, i miei computer, non li conoscono).
The Walking Dead ha scritto:PS: non credo che Chrome, Opera e Firefox abbiano un gestore Java.
E credo neanche un flash interno (tranne Chrome) sbaglio?
Da Windows 8 in poi (compreso 8.1) Flash Player è incluso nativamente nel sistema operativo (dunque utilizzabile da Internet Explorer).
Ottima idea, che si sta sviluppando molto bene. Aggiungo solo: tenetelo FOCALIZZATO! Ad es, capisco che CCleaner installato sia "utile anche dopo", ma per lo scopo della guida consiglierei la Portable.
Ancora: il software "Secuirty Check" è sicuramente interessante (e con lui altri citati), ma serve per prevenire, non per ripulire. Estendo il discorso anche ad AdBlock, ma forse mi sfugge qualcosa.
In linea di massima, terrei sempre a meno questo focus: ho appena scoperto di essere infetto: come faccio per ripulirmi?!?! AIUTOOOO.
Zane ha scritto:Ottima idea, che si sta sviluppando molto bene. Aggiungo solo: tenetelo FOCALIZZATO! Ad es, capisco che CCleaner installato sia "utile anche dopo", ma per lo scopo della guida consiglierei la Portable.
Che, comunque si può sempre aggiornare, @Zane.
Per la guida (trattandosi in fondo di una specie di procedimento "usa e getta"), dal mio punto di vista, puntare sui portable è fondamentale.
Ancora: il software "Secuirty Check" è sicuramente interessante (e con lui altri citati), ma serve per prevenire, non per ripulire. Estendo il discorso anche ad AdBlock, ma forse mi sfugge qualcosa.
La questione ADBlock riguarda essenzialmente il browser; per l'aspetto browser, direi di scrivere una parte dedicata, separata dalla procedura di pulizia.
Ora preme definire la prima parte (che in fondo è la più importante); definita quella, pubblico la bozza della seconda parte e ci ragioniamo sopra (e cosi via, fino a unire il tutto in quello che sarà il lavoro finito).
P.S.: vorrei (oltre a quella di @Dead, già espressa) leggere qualche opinione in più in relazione all'ordine di esecuzione.
[Claudio] ha scritto:Perchè come Chrome anche Firefox (e credo anche Opera) ha un suo flash player interno e spero un gestore Java (che detto per inciso disabiliterei).
Il problema permane per IE dove è necessario installare i due plug-in (super soggetti a vulnerabilità)
The Walking Dead ha scritto:PS: non credo che Chrome, Opera e Firefox abbiano un gestore Java.
E credo neanche un flash interno (tranne Chrome) sbaglio?
hashcat ha scritto:Da Windows 8 in poi (compreso 8.1) Flash Player è incluso nativamente nel sistema operativo (dunque utilizzabile da Internet Explorer).
A fronte di queste considerazioni, dire che è necessario utilizzare IE per aggiornare i plugin flash e java può essere soggetto di critica, perchè in fondo uno può utilizzare il browser che preferisce per farlo . Oltrettutto solo Chrome ha un plugin flash interno, gli altri no.
hashcat ha scritto:Da Windows 8 in poi (compreso 8.1) Flash Player è incluso nativamente nel sistema operativo (dunque utilizzabile da Internet Explorer).
@Hash, questo lo possiamo precisare, allora; non comporta problemi spiegare che flash deve essere aggiornato su sistemi antecedenti a Win 8 se si usa IE.
A fronte di queste considerazioni, dire che è necessario utilizzare IE per aggiornare i plugin flash e java può essere soggetto di critica, perchè in fondo uno può utilizzare il browser che preferisce per farlo . Oltrettutto solo Chrome ha un plugin flash interno, gli altri no.
Per Chrome non è un problema; quello che mi preme sapere, a questo punto, è se FIrefox e Opera hanno flash interno; altrimenti va spiegato che flash player va aggiornato su tutti i browser eventualmente in uso, escluso Chrome.
Chi usa Firefox e Opera può confermare che il plugin non è interno ma deve essere installato?.
Zane ha scritto:Ancora: il software "Secuirty Check" è sicuramente interessante (e con lui altri citati), ma serve per prevenire, non per ripulire
Giusto ma se l'utente, dopo aver ripulito il proprio computer dalle minacce (che, in questo esempio, erano diffuse da un kit di exploit che sfruttava una vulnerabilità in Java o Adobe Reader, etc. (distribuito con ADS malevoli su un sito legittimo)), non provvede, come prima cosa, ad aggiornare i software vulnerabili, "ricadrà" quasi istantaneamente nella stessa trappola.
Malgrado si tratti comunque di prevenzione, ritengo che l'aggiornamento / rimozione / sostituzione dei software vulnerabili sia una priorità e che questa pratica debba essere obbligatoriamente menzionata in una guida di disinfezione.
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.