Ricerca

lunedì 22 dicembre


Gli strumenti e le metodologie più efficaci per rimuovere i malware

Gli strumenti e le metodologie più efficaci per rimuovere i malware

di Michele Nasi (28/05/2010)


Rimozione delle minacce e produzione di un file di log con Combofix. Altro software essenziale per la rimozione delle minacce più comuni è Combofix. Il suo utilizzo è molto semplice perché, una volta scaricato, va eseguito semplicemente facendo doppio clic sul file combofix.exe. Il programma provvede ad effettuare una scansione del sistema alla ricerca di un ampio gruppo di malware conosciuti tentando la disinfezione automatica.
Oltre ad essere in grado di rimuovere alcune tra le più diffuse minacce, Combofix - al termine del suo intervento - propone un interessante file di log che contiene, tra l'altro, informazioni circa eventuali componenti nocivi non rimossi dal programma.
Il log non è di facile comprensione per gli utenti inesperti ed è per questo che, per l'eliminazione di eventuali minacce residue, è bene appoggiarsi a chi conosce il funzionamento del programma (potete far riferimento anche alla sezione “Sicurezza e antivirus” del nostro forum).

Ad ogni modo, una scansione con Combofix riesce spesso ad eliminare molte delle più diffuse minacce in circolazione. Come primo passo, è necessario prelevare l'ultima versione del programma cliccando qui.

Prima di avviare Combofix, consigliamo di disattivare temporaneamente la funzionalità di scansione in tempo reale dell'antivirus installato sul proprio sistema. A questo punto, è possibile avviare Combofix facendo doppio clic sul suo eseguibile.

Se il file eseguibile di Combofix non apparisse scaricabile o non volesse avviarsi, è possibile che sul sistema sia presente un malware in grado di rilevare la presenza di questo strumento per la rimozione delle minacce. Al momento del download dell'applicazione, quindi, suggeriamo di salvarla su disco non con il nome predefinito – ovvero ComboFix.exe – ma con un'altra denominazione (ad esempio abc123.exe o qualcosa di simile).

Dopo alcuni secondi di attesa, comparirà la finestra principale del programma in caratteri DOS. Per avviare la scansione del sistema, è necessario premere il tasto 1 seguito da Invio.

Combofix creerà, innanzi tutto, un punto di ripristino (ved. più avanti la sezione dedicata alla funzionalità "Ripristino configurazione di sistema" di Windows), utile nel caso in cui dovessero presentarsi problemi dopo aver apportato gli interventi sul sistema.

Dopo aver creato un nuovo punto di ripristino, Combofix effettua il backup del registro di sistema appoggiandosi ad ERUNT (ved. questi articoli). Non è necessario che l'utility ERUNT sia presente sul sistema dato che Combofix la integra in sé.

Svolte le operazioni di tipo precauzionale, Combofix disconnetterà il personal computer dalla rete Internet. Nel caso in cui riceviate avvisi, da parte delle applicazioni installate, circa l'indisponibilità della connessione, tenete presente che è un comportamento del tutto normale. Il software modificherà anche le impostazioni dell'orologio di sistema che verranno comunque riportate allo stato iniziale al termine della procedura.
Anche la temporanea scomparsa delle icone dal desktop è da considerarsi assolutamente normale.

Durante la scansione, Combofix visualizzerà una serie di messaggi. I passi da completare ("stage") sono più di una cinquantina: è indispensabile attendere pazientemente che il programma abbia terminato tutte le attività. Si ricordi anche di non cliccare sulla finestra di Combofix altrimenti il processo di scansione è possibile che si blocchi.
Qualora il firewall vi informasse circa la sostituzione di alcuni driver, si consenta l'operazione.

Al termine della procedura, Combofix avrà eliminato tutti gli eventuali malware, presenti sul sistema, di sua conoscenza.
Il resoconto proposto (memorizzato nella directory radice del disco C: con il nome ComboFix.txt) contiene una serie di informazioni utili per rimuovere ulteriori infezioni che Combofix non sia riuscito a sradicare.

Nel report è facile riconoscere i file collegati a componenti malware che il programma è riuscito a rimuovere oltre agli eventuali oggetti nascosti (rilevati appoggiandosi al software GMER) che, con buona probabilità, evidenziano la presenza di rootkit.
Il file di log riassume anche la configurazione di molte aree del sistema operativo generalmente attaccate dai malware. Se non si conosce il significato delle varie voci visualizzate è bene non lanciarsi in interventi "alla cieca" che avrebbero come risultato solo quello di causare problemi al funzionamento del sistema operativo.
Il log di Combofix, invece, offre un valido aiuto per confrontarsi con gli utenti più esperti (ad esempio, nei forum e nei gruppi di discussione).

Suggeriamo di salvare il log C:\ComboFix.txt insieme con quello di Malwarebytes' Anti-Malware in modo da averlo a portata di mano nel caso in cui un esperto dovesse richiederlo.

Aggiungiamo che Combofix è disinstallabile invocando il comando ComboFix /u.

Ad esclusivo beneficio dei più esperti, aggiungiamo che Combofix è in grado di eliminare file, informazioni dal registro di sistema, servizi e driver su richiesta dell'utente. La procedura è estremamente delicata ed è bene che venga posta in essere solamente dalle persone più smaliziate. Creando, nella stessa cartella in cui si è memorizzato l'eseguibile di Combofix, un file di testo dal nome CFScript.txt ed inserendovi gli elementi da rimuovere, Combofix provvederà ad eliminarli.
Se, esaminando il log di Combofix, ci si dovesse accorgere che il programma non ha cancellato file certamente collegati a malware, è sufficiente specificare espressamente nel file CFScript.txt il loro percorso ed il loro nome.

Un esempio:
File::
C:\WINDOWS\system32\bgehcscv.dll
C:\WINDOWS\system32\mrsykxvd.dll
C:\WINDOWS\system32\ufbbwgav.dll
C:\WINDOWS\system32\rqRJAqPI.dll
C:\WINDOWS\system32\mlvhkmwa.dll
C:\WINDOWS\system32\vcschegb.ini

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{195B9C4D-7D07-46A7-9D51-14E535A20EA1}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"50076d7b"=-

In questo caso, viene richiesta l'eliminazione di sei file nocivi (di cui cinque DLL), di un riferimento ad un BHO maligno e di un valore nocivo inserito da qualche malware nella chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, generalmente utilizzata anche da applicazioni benigne per avviarsi automaticamente.
Si noti la modalità con cui viene usato il carattere - ("meno"). Nel primo caso (BHO) viene richiesta la cancellazione di un'intera chiave del registro di Windows mentre nel secondo solamente del valore specificato ("50076d7b" è, in questo caso, il nome del valore).

Per fare in modo che Combofix provveda a cancellare gli elementi specificati, basta trascinare il file CFScript.txt sull'eseguibile del programma. Ribadiamo che questa procedura va messa in atto solo ed esclusivamente da parte degli utenti più esperti. L'errata eliminazione di informazioni indispensabili per il corretto funzionamento del sistema operativo e/o delle applicazioni installate può provocare spiacevoli problemi.

Articolo seguente: Sandboxie: come eseguire il browser in un'"area virtuale" sicura
Articolo precedente: HFS: condividere file e cartelle con utenti remoti in tutta semplicità
104439 letture
Ultimi commenti
inviato da Maromy > pubblicato il 16/03/2011 19:00:25
Io ho provato Combofix su vista a 32 bit ma purtroppo ora non funziona più la connessione nè la wireless nè la ethernet... in più le cartelle che avrebbe dovuto cancellare sono rimaste lì. :confuso: avrò sbagliato io o sto combofix non è granchè!? fra l'altro ho ripristinato il sistema pensando di riportare tutto com'era ma la connessione è proprio partita e moh... non mi funziona più nemmeno windows firewall! e mi ha cancellato tutti i server di emule :cry: sto cercando un'idea che non sia quella di formattare, che userò come ultimissima risorsa. :ubriaco:
inviato da soggiorno gloria > pubblicato il 01/07/2010 17:30:30
dopo aver scaricato combofix ed aver fatto la scnasione che non ha rilevato alcun virus il symatec antivirus non e' ripartito e continua ad essere attivo ma non fa le scansioni che faccio????? grazie
inviato da leoncino > pubblicato il 08/06/2010 10:39:05
Ultimamente avevo provato ComboFix su vista per rimuovere un virus che pi fortunatamente ha rimosso malwarebytes.. volevo solo aggiungere la info che combofix NON funziona su sistemi a 64 bit, almeno con vista..
inviato da gianmarco_c > pubblicato il 02/06/2010 20:47:35
"la versione a pagamento aggiunge la possibilità di fruire di un modulo residente in memoria in grado di bloccare le infezioni e di una funzionalità per la pianificazione dell'analisi dei dischi fissi e delle altre unità di memorizzazione." , per le scansioni programmate dovrebbe bastare lo schedulatore windows anche usando la freeware chiamando la console del programma... , ciao gianmarco http://freeware--software.blogspot.com/
inviato da Chulo > pubblicato il 29/05/2010 00:03:12
Ottimo :approvato: . A proposito di SuperAntispyware segnalo la possibilità di usare una buona traduzione italiana, con il metodo suggerito dal suo autore che trovate qui in forum --> viewtopic.php?p=616719#p616719. E che da qualche tempo è disponibile anche una versione Portable da utilizzare su una chiavetta usb ad esempio http://www.superantispyware.com/portablescanner.html


Leggi tutti i commenti

Commenta anche su Facebook

Automazione intuitiva, tutto in un click

Scopri come, grazie a una nuova generazione di soluzioni per il controllo, la safety e il motion, è possibile ottimizzare le prestazioni delle macchine e ottenere vantaggi in termini di efficienza e redditività.

Partecipa al webinar di Schneider Electric, clicca qui.
Sapere conviene: tutto il 3D in un pacchetto

Per diffondere il più possibile la conoscenza della stampa 3D, nel modo più semplice ed economico per tutti, in modo che possa essere un vero fattore di crescita, 3D Printing Creative, la prima rivista in Italia dedicata alla stampa 3D, ha creato un pacchetto speciale.

Per maggiori informazioni clicca qui.
Link alla home page de IlSoftware.it

P.IVA: 02472210547 | Copyright © 2001 - 2014

Pubblicità | Contatti | Informazioni legali | Cookies | Storia | Supporta | Credits

Segui i nostri Feed RSS de IlSoftware.it Segui i nostri Feed RSS