116656 Letture

Guida alla rimozione dei malware

Combofix

Nell'esempio sopra riportato, è altamente probabile che il sistema sia infetto da una variante di "Vundo", trojan molto diffuso che è spesso riconoscibile per l'aggiunta di numerose DLL maligne, con nomi casuali, nella cartella di sistema di Windows.

Per la rimozione di minacce simili, è possibile ricorrere ad un software come Combofix.

Combofix provvede ad effettuare una scansione del sistema alla ricerca di un ampio gruppo di malware conosciuti tentando la disinfezione automatica.
Oltre ad essere in grado di rimuovere alcune tra le più diffuse minacce, Combofix - al termine del suo intervento - propone un interessante file di log che contiene, tra l'altro, informazioni circa eventuali componenti nocivi non rimossi dal programma.

L'ultima versione di Combofix è prelevabile cliccando qui.


Come confermato dagli autori stessi del software, non è consigliabile avviare subito il programma. Sarebbe invece bene provvedere ad installare, in primo luogo, la Console di ripristino di Windows.

La Recovery Console o "Console di ripristino" è un'interfaccia essenziale in caratteri DOS che può essere utilizzata da amministratori di sistema od utenti evoluti per risolvere problemi che, ad esempio, impediscono l'avvio del sistema operativo. In casi "disperati" la console, se ben utilizzata, può rappresentare un valido aiuto nelle operazioni di recupero dei dati importanti prima di una nuova formattazione del disco fisso (per maggiori informazioni in proposito, suggeriamo di consultare questo articolo e questo materiale.

Nel caso di Windows XP, per avviare la Console di ripristino, è sufficiente inserire il CD ROM d'installazione del sistema operativo nel lettore CD ROM, effettuare il boot da questo supporto quindi premere il tasto R quando indicato.
La console è anche installabile sul disco fisso seguendo le istruzioni qui riportate.

Gli utenti di Windows Vista possono accedere alla console di ripristino riavviando il sistema dal CD d'installazione e scegliendo l'opzione che consente di riparare il personal computer. A questo punto si dovrà specificare l'installazione di Vista da riparare (il pulsante Carica driver consentirà di attivare driver necessari per l'utilizzo di periferiche specifiche). Per entrare nella Console di ripristino vera e propria, basta cliccare su Prompt dei comandi.

A questo punto, è possibile avviare Combofix facendo doppio clic sul suo eseguibile.

Dopo alcuni secondi di attesa, comparirà la finestra principale del programma in caratteri DOS. Per avviare la scansione del sistema, è necessario premere il tasto 1 seguito da Invio.

Combofix creerà, innanzi tutto, un punto di ripristino (ved. più avanti la sezione dedicata alla funzionalità "Ripristino configurazione di sistema" di Windows), utile nel caso in cui dovessero presentarsi problemi dopo aver apportato gli interventi sul sistema.

Dopo aver creato un nuovo punto di ripristino, Combofix effettua il backup del registro di sistema appoggiandosi ad ERUNT (ved. questi articoli). Non è necessario che l'utility ERUNT sia presente sul sistema dato che Combofix la integra in sé.

Svolte le operazioni di tipo precauzionale, Combofix disconnetterà il personal computer dalla rete Internet. Nel caso in cui riceviate avvisi, da parte delle applicazioni installate, circa l'indisponibilità della connessione, tenete presente che è un comportamento del tutto normale. Il software modificherà anche le impostazioni dell'orologio di sistema che verranno comunque riportate allo stato iniziale al termine della procedura.
Anche la temporanea scomparsa delle icone dal desktop è da considerarsi assolutamente normale.

Durante la scansione, Combofix visualizzerà una serie di messaggi. I passi da completare ("stage") sono al momento 48: è indispensabile attendere pazientemente che il programma abbia terminato tutte le attività. Si ricordi anche di non cliccare sulla finestra di Combofix altrimenti il processo di scansione è possibile che si blocchi.
Qualora il firewall vi informasse circa la sostituzione di alcuni driver, si consenta l'operazione.


Al termine della procedura, Combofix avrà eliminato tutti gli eventuali malware, presenti sul sistema, di sua conoscenza.
Il resoconto proposto (memorizzato nella directory radice del disco C: con il nome ComboFix.txt) contiene una serie di informazioni utili per rimuovere ulteriori infezioni che Combofix non sia riuscito a sradicare.

Nel report è facile riconoscere i file collegati a componenti malware che il programma è riuscito a rimuovere oltre agli eventuali oggetti nascosti (rilevati appoggiandosi al software GMER) che, con buona probabilità, evidenziano la presenza di rootkit.
Il file di log riassume anche la configurazione di molte aree del sistema operativo generalmente attaccate dai malware. Se non si conosce il significato delle varie voci visualizzate è bene non lanciarsi in interventi "alla cieca" che avrebbero come risultato solo quello di causare problemi al funzionamento del sistema operativo.
Il log di Combofix, invece, offre un valido aiuto per confrontarsi con gli utenti più esperti (ad esempio, nei forum e nei gruppi di discussione).

Ad esclusivo beneficio dei più esperti, diciamo che Combofix è in grado di eliminare file ed informazioni dal registro di sistema su richiesta dell'utente. La procedura è estremamente delicata ed è bene che venga posta in essere solamente dalle persone più smaliziate. Creando, nella stessa cartella in cui si è memorizzato l'eseguibile di Combofix, un file di testo dal nome CFScript.txt ed inserendovi file e chiavi di registro da rimuovere, Combofix provvederà ad eliminarle. Se, esaminando il log di Combofix, ci si dovesse accorgere che il programma non ha cancellato file certamente collegati a malware, è sufficiente specificare espressamente nel file CFScript.txt il loro percorso ed il loro nome.


Un esempio:
File::
C:\WINDOWS\system32\bgehcscv.dll
C:\WINDOWS\system32\mrsykxvd.dll
C:\WINDOWS\system32\ufbbwgav.dll
C:\WINDOWS\system32\rqRJAqPI.dll
C:\WINDOWS\system32\mlvhkmwa.dll
C:\WINDOWS\system32\vcschegb.ini


Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{195B9C4D-7D07-46A7-9D51-14E535A20EA1}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"50076d7b"=-

In questo caso, viene richiesta l'eliminazione di sei file nocivi (di cui cinque DLL), di un riferimento ad un BHO maligno e di un valore nocivo inserito da qualche malware nella chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, generalmente utilizzata anche da applicazioni benigne per avviarsi automaticamente.
Si noti la modalità con cui viene usato il carattere - ("meno"). Nel primo caso (BHO) viene richiesta la cancellazione di un'intera chiave del registro di Windows mentre nel secondo solamente del valore specificato ("50076d7b" è, in questo caso, il nome del valore).

Per fare in modo che Combofix provveda a cancellare gli elementi specificati, basta trascinare il file CFScript.txt sull'eseguibile del programma. Ribadiamo che questa procedura va messa in atto solo ed esclusivamente da parte degli utenti più esperti. L'errata eliminazione di informazioni indispensabili per il corretto funzionamento del sistema operativo e/o delle applicazioni installate può provocare spiacevoli problemi.

SmitFraudFix e HijackThis

Un altro software molto utile in fase di eliminazione di infezioni molto diffuse è SmitFraudFix. Prelevabile da qui, suggeriamo di eseguirlo preferibilmente in modalità provvisoria (ved. il paragrafo seguente).

HijackThis è un altro software tra i più utili in circolazione dato che è in grado di raccogliere le informazioni relative alla configurazione del sistema. E' bene tuttavia rimarcare come HijackThis non includa alcuna funzionalità per la rimozione di componenti malware.
Si tratta quindi di un programma, appannaggio degli utenti più evoluti, eccellente nella fase di recupero delle informazioni collegate alla configurazione di Windows. Una completa guida all'uso di HijackThis contenente alcuni esempi pratici, è consultabile facendo riferimento a questa pagina.
Il software suddivide in più gruppi (R1, R2, O1, O2, O3,...) le informazioni presenti nelle varie aree critiche del sistema operativo. In questo articolo evidenziamo tutte le differenza fra i vari raggruppamenti.

  1. Avatar
    lucaluca
    10/01/2010 16.02.47
    Versioni in lingua italiana
    nel sito ufficiale
    a questo link: http://info.prevx.com/downloadcsi.asp
    sono presenti anche le versioni in italiano
    sia a 32bit che a 64bit.
  2. Avatar
    jacopo
    06/11/2009 09.37.13
    Citazione: ok, Prevx mi ha aiutata ad individuarlo, ma ora che c'è questo processo (sqlzbfnz.exe) identificato come cloaked malware (e lasciato libero dal mio avast) come faccio a liberarmene? help!
    ...Hai letto solo la prima pagina ? :wink:
  3. Avatar
    supernova29
    05/11/2009 19.30.36
    questo articolo si intitola "guida alla rimozione dei malware"...ok, Prevx mi ha aiutata ad individuarlo, ma ora che c'è questo processo (sqlzbfnz.exe) identificato come cloaked malware (e lasciato libero dal mio avast) come faccio a liberarmene? help!
  4. Avatar
    miciotta
    30/04/2009 12.00.15
    manca antimalwarebyte's ...anche se ultimamente ha tantissimi
    falsi/positivi !!!

    ottimo articolo
  5. Avatar
    asyscom
    21/04/2009 23.42.24
    avg 7.5 causa quel problema. puoi scaricare la soluzione (iso avviabile autoriparante) gratuitamente dal sito di avg
  6. Avatar
    gegnottolin
    10/11/2008 13.01.46
    Citazione: Salve a tutti...Ieri mattina mentre navigavo in internet sulla barra veloce mi è arrivato un avviso di aggiornamento di Acrobat, ma appena scaricato si è rivelato un trojan. Difatti mi è arrivato un avviso da AVG che mi avvisava del pericolo. Ho cercato di ricollegarmi a internet per aggiornare AVG per poi lanciare lo scan, ma siccome non riuscivo a collegarmi ho spento e riacceso...L'avessi mai fatto!! Non si è più riacceso e appare una schermata blu che dice:

    STOP: C0000135 {impossibile individuare un componente}. Impossibile avviare l'applicazione specificata. USER32.dll non è stato trovato.
    Una nuova installazione dell'applicazione potrebbe risolvere il problema.

    Un amico mi ha suggerito di utilizzare Norman Malware Cleaner, ma non è sicuro..Voi che fareste?
    dai un'occhiata qui
  7. Avatar
    sugar
    10/11/2008 12.23.30
    Salve a tutti...Ieri mattina mentre navigavo in internet sulla barra veloce mi è arrivato un avviso di aggiornamento di Acrobat, ma appena scaricato si è rivelato un trojan. Difatti mi è arrivato un avviso da AVG che mi avvisava del pericolo. Ho cercato di ricollegarmi a internet per aggiornare AVG per poi lanciare lo scan, ma siccome non riuscivo a collegarmi ho spento e riacceso...L'avessi mai fatto!! Non si è più riacceso e appare una schermata blu che dice:

    STOP: C0000135 {impossibile individuare un componente}. Impossibile avviare l'applicazione specificata. USER32.dll non è stato trovato.
    Una nuova installazione dell'applicazione potrebbe risolvere il problema.

    Un amico mi ha suggerito di utilizzare Norman Malware Cleaner, ma non è sicuro..Voi che fareste?
  8. Avatar
    Michele Nasi
    06/08/2008 11.17.40
    Il motivo è il seguente. La prima versione di PrevX CSI in effetti non necessitava di installazione quindi poteva essere eseguito anche da una semplice chiavetta USB. Con il rilascio della seconda release del software, per le funzionalità che sono state aggiunte, risulta indispensabile l'installazione.
    La svista prontamente segnalata da gegnottolin derivava dal fatto che una frase dell'articolo era stata ripresa da un vecchio servizio pubblicato sempre su IlSoftware.it ed incentrato sulla prima versione di PrevX CSI.
  9. Avatar
    Lamantino Pazzo
    06/08/2008 10.40.53
    Lo avevo visto anch'io avevo trovato quel programma su il CD di una nota rivista e anche loro dicevano che non si installava ma alla fine l'ho trovato nel menu start con tanto di 'shortcut' per rimuoverlo. La cosa che mi lasciato li è che era comunque reclamizzato, anche sulla copertina della rivista, come programma gratuito completo, quando nella poi è lo stesso che si può scaricare dal sito del produttore.
  10. Avatar
    Michele Nasi
    01/08/2008 10.50.23
    Ho provveduto a correggere. L'imprecisione derivava da un mio precedente articolo dedicato a PrevX CSI (la precedente versione del software, infatti, non necessitava di installazione). Grazie per la segnalazione!
Guida alla rimozione dei malware - IlSoftware.it - pag. 2