.: HosiriS :.

Informatica e non solo

Archive for the ‘Virus’ Category

Indicazioni per un sistemista pigro: rimuovere malware!

Posted by hosiris su marzo 21, 2010

Come accennavo lo scorso articolo, se un tecnico conosce come soluzione a tutti i problemi la sola parola “format”, tipicamente è indice di due cose: voglia di lavorare pari a 0 oppure poche conoscenze!
Siccome odio chi mi critica senza darmi modo di crescere, non voglio fare lo stesso. Quindi oggi prenderò in esame un metodo (o meglio una linea guida) con cui nel 99% dei casi è possibile evitare la formattazione (l’1% mancante è dovuto a rootkit o malware ben costruiti che nonostante lunghe lavorazioni – anche 1 mese – persistono nel sistema!).
Cominciamo con l’analizzare gli strumenti. Dimenticate gli antivirus installati sul sistema, praticamente inutili e spesso controproducenti perchè bloccano molte delle operazioni che descriverò e che spesso causano problemi alle connessioni per una loro logica di limitazione dei danni! Quindi disinstallate tutti gli antivirus, antispyware… antimalware in generale!
Come molti sanno un virus si attiva insieme al sistema, ergo anche i sistemi di autodifesa si attivano insieme al sistema, ecco perchè le fasi iniziali faranno uso di strumenti esterni.
Un ottimo tool di lavoro è UBCD4WIN. Una volta scaricato ed installato questo programma vi permette di creare una iso avviabile come live, in cui è possibile trovare molti strumenti e nel nostro caso una buona serie di antimalware.
Avviato il pc da cd, vi troverete una versione di win “strana”, ma nella sezione antivirus troverete un bel pò di antivirus da poter utilizzare. Tipicamente faccio una scansione con tre antivirus diversi, può sembrare superfluo, ma ogni antivirus ha determinate aree di applicazione, per cui è possibile che Avira riconosca un virus che Avast non ha considerato e così via.
Terminato questo processo è possibile riavviare e accedere al sistema in modalità provvisoria. Inserendo il cd vi accorgerete che il pulsante di start viene modificato, ebbene sì anche a sistema avviato è possibile utilizzare i software del cd. Adesso accediamo alla voce antispyware.
Tipicamente utilizzo SuperAntiSpyware e SpybotSD. Sono entrambi molto accurati e con tempi relativamente lunghi, quindi abbiate pazienza. Terminato questo processo possiamo dire di aver terminato.
Rimango alcuni processi di “ritocco”.
Riavviato il sistema osserveremo le reazioni del sistema, rileggeremo i log di sistema… insomma bisogna tenere d’occhio i processi per vedere se sono presenti i minimi errori.
Nel caso qualche virus avesse danneggiato qualche file di sistema risulta utile utilizzare la console di rispristino di windows che possiamo trovare sul cd di installazione di windows. Una volta avviato diamo il seguente comando:

chkdsk c: /P/R

in questo modo vengono ripristinati i principali file di sistema.
Le successive operazioni prevedono l’uso di alcuni software quali: MalwareByte’s, ComboFix, Advanced System Care.
Tramite questi siamo in grado di sistemare voci danneggiate nel registro di sistema, trunk file presenti nel sistema… insomma le ultime immondizie sopravvissute nel sistema!
Finite queste operazioni, dei test di connettività e di funzionamento generale sono di dovere e poi, per completare il tutto, è necessario reinstallare un antivirus. Per la scelta di quest’ultimo mi baso sempre su statistiche annuali sulla qualità degli av… Al momento consiglio Avira Antivir!
Ed ecco quello che chiamo un buon lavoro… certo tutto questo necessita di 2 giorni di lavoro, contro la velocità dovuta alla formattazione, ma vi invito a riflettere che con la mia tecnica dopo due giorni avete il sistema così come lo conoscete, con i programmi che vi servono e i vostri dati dove li avete lasciati. Formattando vi ritrovate a dover reinstallare tutto, a reinserire i dati precedentemente salvati in dischi esterni… Diciamo che le tempistiche di lavoro sono brevi, ma le tempistiche di messa in lavorazioni sono decisamente superiori.

Buona rimozione, e solo una puntualizzazione: se non si è addetti ai lavori, spesso questo processo descritto in maniera semplice può portare a danni sul sistema, quindi maneggiare con cura (e usate linux che vi semplifica la vita!!! :D)

Annunci

Posted in Informatica, Virus, Windows | Leave a Comment »

Perchè il “formattone” è superfluo…

Posted by hosiris su marzo 19, 2010

Ritornato da pochi mesi in terra natìa, per poter tamponare l’attuale stato lavorativo, sto mettendo a frutto la mie conoscenze da sistemista. A parte il problema di quanto chiedere… di sicuro non sono più a Roma e nessuno vuole sborsare soldi per un PC (che secondo molti è eterno), mi sono imbattuto in un problema che affrontai tempo fa nella capitale: la costante richiesta di formattazioni…
Vorrei spiegare il perchè secondo me questa moda comune è inutile e controproducente.
Partiamo dai motivi che spingono un utente a portare il pc da un tecnico e a chiedere una formattazione (con relativa reinstallazione si intende): virus, lentezza, programmi che non girano, hard disk pieno, continui errori di sistema…
Non parlerò del fatto che il 90% di queste situazioni può anche essere causata anche da problemi hardware e che quando non si specifica il problema, il tecnico non andrà mai a controllare se la causa può essere generata da componenti rotti, quindi quando portate il pc da qualcuno non dite: “me lo puoi formattare?”, ma “ho questo problema” sarà il tecnico a decidere la strada migliore.
Cominciamo col fatidico problema dei virus! Certo sembra naturale che una volta che un ladro è entrato in casa e ha fatto un pò di danni la miglior cosa è dare fuoco a tutto e ricostruire la casa, ma forse esistono metodologie meno dolorose; immaginate di dover ricomprare tutti i mobili, tutti gli elettrodomestici. Questo paragone per dire che una volta formattato il pc segue da parte dell’utente una naturale perdita di tempo per poter reinstallare tutti i programmi o per reimpostare i programmi in maniera ottimale (senza considerare che in questi processi generalmente si creano altri problemi per cui il tecnico vi farà pagare altri soldi). La soluzione proposta è quella di togliere i virus, esistono tantissimi strumenti che un tecnico può usare per fare un buon lavoro (questo in genere serve da parametro di decisione, un tecnico che propone solo formattazioni non ne capisce niente, ci posso mettere la mano sul fuoco). Alla fine di tutto avrete il pc di nuovo funzionante perfettamente e con tutte le cose a posto, non è un sollievo?
I problemi riguardanti il funzionamento di o meno lento del pc sono, nel 99,999999999% dei casi, causati da un po’ di menefreghismo da parte degli utenti. Torniamo al paragone: purtroppo un male affligge le nostre case e cioè la polvere, anche in questo caso non credo che tutti bruciano la casa e poi la ricostruisco, ma prendono la scopa e controvoglia si mettono a pulire. Stessa identica cosa nel pc! Questi gioiellini devono essere mantenuti e questo vuol dire usare dei semplici programmi che ogni sistema Microsoft mette a disposizione: defrag, scandisk e pulizia guidata. Utilizzando questi programmi constantemente vi assicuro che non sarà necessario usare nient’altro, ma qualora non fosse nelle vostre abitudini potreste arrivare a condizioni in cui questi programmi non sono sufficienti e siete costretti a portare il pc da un tecnico, che se bravino conoscerà altri strumenti che gli permetterà di risolvere i problemi.
Credo che abbiate capito che i problemi relativi ad errori qualsiasi, sono risolvibili con delle conoscenze da parte del tecnico.
Un effettiva formattazione potrebbe essere utile qualora dei cluster siano danneggiati e se ne vuole tentare il rispristino o quando si ha la necessità di cambiare os (io personalmente ho formattato 2 volte questo pc: la prima per eliminare dalla mia vista windows, la seconda per passare da un 32bit ad un 64bit…).
Un’altra motivazione molto materiale è che è inutile spendere soldi per una cosa che può fare ogni persona a casa… ormai il processo di installazione va proprio tranquillo! Prendete il vostro bel cd e installatevi il sistema da soli. Anzicchè portare il pc una volta al mese dal tecnico, investite i soldi nell’acquisto di una licenza, questo vi farà risparmiare perchè avendo un sistema originale potrete fare gli aggiornamenti, che servono proprio a tenere lontani i virus. Vi posso assicurare che con un sistema aggiornato ed un pò di attenzione potreste togliere qualsiasi antivirus!

Magari scriverò degli articoli con dei consigli per tecnici un pò pigri!!!

Posted in Informatica, Virus, Windows | Leave a Comment »

Davvero carino…

Posted by hosiris su febbraio 8, 2009

Credo che tutti conosciate il famoso “”Antivirus2009” che tutto è tranne che un antivirus…
Negli ultimi due mesi credo di aver eliminato questo virus ad una quantità tendente all’infinito di PC e non riuscivo a capire il perchè fin quando non ho fatto attenzione ad alcuni piccoli particolari…
Intanto la foto che segue è un piccolo esempio di quello che dico:

immagine

Questa simpaticissima schermatina ha occhi indiscreti e non abituati potrebbe sembrare la solita schermata di windows che ti avvisa che il sistema ha qualche falla di sicurezza. E invece no… notiamo subito il font, non è quello tipico di Windows, ma non solo, anche i colori e soprattutto la scritta in inglese con un os in italiano…
Passiamo al tipico messaggio, una simpatica schermata in cui un ipotetico antivirus di nome Antivirus2009 ci avvisa di essere infetti da una quantità talmente alta di virus da farci venire il dubbio di dover mettere gli occhiali…
Credevo che lo scherzetto finisse qua… invece noooooooooooo!
Avete mai fatto partire lo screensaver?
Bene ogni 5 minuti parte una simpaticissima sequenza: prima una schermata blu che ci avvisa che il sistema è andato in crash perchè la versione di av2009 non è registrata poi un bip simile all’accensione del pc seguito da una fasulla schermata di avvio di Windows, con tanto di barra di caricamento… Sono rimasto allibito dalla quantità di particolari che sono stati curati. Certo ha occhi esperti molte cose sono lampanti, ma a chi “lavora” al pc il tutto sembra un normale modo di funzionare del sistema.
Vorrei veramente complimentarmi con gli sviluppatori di questo virus! Che poi virus non è, danni non ne f

Posted in Informatica, Virus | 2 Comments »

msconfig… perso

Posted by hosiris su dicembre 22, 2008

Spesso e volentieri faccio un giro tra i servizi e i programmi in avvio per togliere il superfluo, il tutto senza dover entrare nel registro di sistema semplicemente avviando “msconfig”.
Ultimamente mi è successo che questo comando mi restituisca un errore del tipo: “msconfig non èun comando riconosciuto”…
mmm, qui c’è puzza di virus, mi dico io. Ed infatti di virus si tratta.
Comunque la risoluzione è molto semplice. E’ sufficiente modificare la chiave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE

impostando il valore su

c:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE

Riavviate e tutto è come prima… o forse!

Posted in Informatica, Registry, Virus, Windows | Leave a Comment »

Io e Bagle…

Posted by hosiris su settembre 28, 2008

Ultimamente mi ritrovo spesso e volentieri a dover combattere con lo stesso virus, al punto che ho deciso di mettere in guardia un pò tutti!
Bagle è un malware molto infimo… è addirittura categorizzato come di media pericolosità a causa della difficoltà con cui se ne può essere infettati. Nonostante questo posso dire che su 50 clienti, 20 erano infetti da Bagle. Cos’è? Ripeto un malware; come posso essere infettato? con tutte quelle belle crack che vengono scaricate da programmi di p2p! Adesso mi chiedo… scansionare i file… prima di fare qualsiasi cosa, non può esser un qualcosa di utile? I file archiviati sono innocui fin quando rimangono così, gli eseguibili altrettanto (e ricordo che un file *.exe è solo un contenitore di tanti file, quindi non fatevi trarre in inganno se l’antivirus non vi dice niente). Detto questo, passiamo alla rimozione del virus (più che altro è una mia memoria visto che dimentico puntualmente tutti i passi).
La peculiarità di Bagle è la disattivazione della modalità provvisoria e la capacità di bloccare qualsiasi installazione di antivirus, per questo motivo è così difficile rimuoverlo. Nonostante tutto un gruppo di spagnoli ha creato un ottimo programma di rimozione, si chiama EliBagla scaricabile da qui. Una volta avviato, riavviate e vedrete che pian pianino il programma rimuoverà ogni traccia del virus dal vostro pc.
Un piccolo difetto di questo programma e che non risistema i valori del registro… per cui, mano al registro e modifichiamo i valori… oppure createvi un bel file ed importatelo nel registro (direi che è la soluzione migliore).
In genere il primo servizio a saltare è lo “Zero Configuration reti senza fili”, per ripristinarlo bisogna modificare le seguenti chiavi:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Start] va impostata ad 1;
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\UuidSequenceNumber] va impostata a 0cdae01e;
[HKEY_CURRENT_USER\Session\Information\ProgramCount] va impostata a 4.

Posted in Informatica, Virus | 1 Comment »