Per I Virus Basta Ripristino Del Sistema?

[sagrip]

Salve a tutti. Alcuni giorni fa mentre stavo preparandomi per la colonrettoscopia guardavo in rete quello che mi sarebbe accaduto il giorno dopo, dopo vari siti uno mi appare la schermta della poizia di stato: frode, contraffazione, pedofilia, era chiaro che si trattava di un virus. Faccio il ripristino del sistema e sembra sparito. Ma non ne sono però tanto sicuro, non è che questo virus è ancora dormiente in qualche cartella? Forse la domanda sarà sciocca ma io pultroppo non me ne intendo un gran chè se qualche anima gentile può aiutarmi ne sarei felicissimo e rassicurato grazie . sagrip

[Riccardo Ottaviucci]

fai una scansione con l'antivirus che hai.Probabilmente hai solo visitato un sito sequestrato,non un virus

[sagrip]

E' la prima cosa che ho fatto. Ho per primo scollegato il pc da internet riacceso e la videata era scomparsa, poi ho riallacciato internet ed è subito ricomparsa. Ripeto l'operazione ma prima di ricollegare internet faccio la scansione con karspersky riaccendo internet e riappare di nuovo. Solo dopo il ripristino del sistema sembra scomparso

[Luca Bettinelli]

Hai fatto il ripristino del sistema con il CD / DVD del costruttore od in altro modo?

[Riccardo Ottaviucci]

hai riportato il sistema al punto di ripristino precedente? E l'antivirus che ha trovato?

[fragio]

Prova a vedere quì http://pc.plcforum.i...__fromsearch__1

E in caso di infezione è meglio eliminare i punti di ripristino, i virus si annidano anche lì.

Bye

[sagrip]

A Luca Bettinelli: ho fatto il ripristino attraverso risorse del computer

A Riccardo Ottaviucci: l'anti virus non ha trovato nulla, parlando poi con un agente della polizia di stato circa il mio problema, anche per evitare eventuali strascichi, mi ha confessato una attività di acheraggio da parte di rumeni che riescono a entrare in qualunque sito baipassando antivirus password e quant'altro, tant'è che lui ha rinunciato ad ogni antivirus.

A Fragio: se nel link è spiegato in modo facile ci provo. Grazie a tutti. Sagrip

[Riccardo Ottaviucci]

ci mancavano anche gli hackers rumeni ,come se non ne avessimo già di nostro a rompere ....

[Livio Orsini]

...tant'è che lui ha rinunciato ad ogni antivirus.

Fossero solo rumeni gli hackers....Purtroppo ce ne sono in tutte le latitudini.

Rinunciare agli antivirus la trovo un'idea un poco sciocca. Che l'antivirus non sia un blocco sicuro non dico al 100%, ma nemmeno allo 80%, è noto però un certo filtro lo fa e rinunciarvi non porta ad alcun beneficio.

Non essite nulla di assolutamente sicuro; tutto è funzione costi-benefici. Ci sono aldri che entrano eni caveux delle banche, hacker che entrano nei siti della NASA o del Pentagono.

Per un normale PC domestico connesso ad internet, usare un router con firewall Hw, più un firewall softtware per tojans e simili ed un buon antivirus, anche gratuito, si ha una protezione per attacchi "normali" sicura al 99%.

[Riccardo Ottaviucci]

l'hacker puro,che lo fa senza alcun scopo di lucro ma solo a titolo dimostrativo e di sfida di se stesso,è secondo me anche da ammirare,ma quelli che utilizzano la loro intelligenza ed intuizione per delinquere e campare alle spalle degli altri,facendo la bella vita,beh permettetemi quantomeno di disprezzarli e gli hackers rumeni appartengono sicuramente a questa seconda popolazione di delinquenti.

[Livio Orsini]

....e gli hackers rumeni appartengono sicuramente a questa seconda popolazione di delinquenti.

Diciamo che le cronache mettono in risalto quasi esclusivamente questa categoria e che, sempre stando alle cronache, sembra che questa nazionalità sia qausi un ......marchio di qualità.

Però, sempre secondo le cronache, c'è un notevole contributo da tutte le popolazioni dell'est europeo.

Forse è un'attività favorita dalla legislazione di quei paesi dove i reati informatici non vengono contrastati; infatti in quei paesi sono domiciliati quasi tutti i provider "pirati".

[GiRock]

Ho da poco debellato la schermata della polizia di stato da un PC infettato provando varie combinazioni manuali e programmi di rimozione automatica, purtroppo devo dire che non sempre quello riportato da utenti che hanno risolto in passato funziona, ormai sono presenti numerose varianti all'ordine del giorno, tanté che dopo la prima pulizia la schermata si è ripresentata dopo una settimana nonostante sia stato installato un noto antivirus a pagamento...

La procedura migliore è quella di utilizzare combofix in modalità provvisoria, prima però bisogna installarlo e aggiornarlo via internet, solitamente ogni settimana viene aggiornata la lista o la versione del programma, avviata la scansione fa tutto da solo, dopo una ventina di minuti circa si riavvia il PC e la fastidiosa schermata non apparirà più...

Ho testato altri programmi miracolosi, ma mostrano solo il risultato della scansione, la pulizia inseguito la devi fare manulmente o devi pagare per avere la versione del programma integrale, se siete pratici e vi è capitata la variante più semplice, entrate nel registro digitando regedit dalla finestra esegui dopo aver riavviato il PC in modalità prompt dei comandi, e verificate se è stata sostituita la shell all'Explorer quì: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon...

Se al posto di Explorer.exe viene riportato il nome di un altro programma (quello che poi avvia la schermata indesiderata), dovete rinominarlo correttamente, segnatevi però il nominativo, quello sarà il file da ricercare e da eliminare, solitamente piazzato in Appdata/Roaming nella cartella Utente, ricordatevi che per visualizzare questa sezione è necessario che sia impostata l'opzione Visualizza File e Cartelle nascoste che potete trovare nel menù Strumenti->Opzioni cartella->Visualizzazione...

Se proprio non ci riuscite, chiamate un amico esperto o rivolgetevi ad un tecnico informatico...

[Riccardo Ottaviucci]

la pulizia inseguito la devi fare manulmente

la pulizia andrebbe fatta sì,ma di quei criminali che utilizzano la rete per scopi fraudolenti o distruttivi...

[GiRock]

Beh, su questo non ci piove Riccardo, ormai la piaga è dilagata a livello mondiale, comunque non sai quanti non ci riescano pur avendo in mano sia i programmi che le istruzioni per rimuovere il fastidio, d'altronde bisogna anche conoscere bene i sistemi per metterci mano senza conseguenze o effetti collaterali, io ho riportato la mia esperienza, ad ogni modo si beccano molto facilmente su certi siti **ografici, e non raccontate balle, fino ad ora tutti i miei "Clienti" hanno poi ammesso di aver navigato in acque oscure ...

E' intervenuta la Conclave con la censura, spero si capisca il concetto...

Modificato: 16 agosto 2012 da GiRock

[fragio]

Se possibile, puoi spiegare il meccanismo dell'infezione?

Si tratta di un file .exe, oppure di qualcosa di automatico che va subito ad annidarsi nel sistema mentre si scarica qualcosa da internet ?

Grazie.

Bye

[GiRock]

Si, è un eseguibile che elude qualsiasi controllo e viene comodamente installato con privilegi amministrativi, comunque non si può definire virus ma piuttosto lo definirei malware dato che più che dare fastidio poi non causa danni irreparabili, prende solamente il controllo della macchina in alcune sue funzioni...

Al momento la procedura esatta del contagio non mi è del tutto chiara, visto che al sottoscritto non è mai capitato direttamente, altrimenti avrei fatto un'analisi approfondita della situazione, purtroppo chi ne viene colpito solitamente ha fretta di risolvere e non ti concede troppo tempo, difficile invece capire dove effettivamente lo hanno beccato dato che fino al riavvio non da segni di vita...

Se ho ulteriori notizie in merito, posso al limite tenere aggiornato il 3ad...

[ignazioedo]

Ciao, mi sono capitati un paio di pc con questo virus..

Questo virus crea delle modifiche nei registri di sistema, uno tra i quali impedisce l' avvio del task manager..

il file exe che genera il file presente in avvio automatico, è in system32, cioè è il file che ricrea il virus ogni volta che lo cancelliamo dall' avvio.

Ho preferito formattare, visto che i pc erano già malconci di suo, uno con l' antivirus scaduto da 3 mesi, l' altro non aggiornava da qualche anno

[Hannemann]

non impedisce solo l'avvio del task manager, in alcuni casi impedisce anche l'avvio in modalita' provvisoria, non so come ma ci riesce, non ho ancora avuto il tempo di disassemblarlo.

Nella nostra azienda e' arrivato tramite un e-mail mandata da un indirizzo conosciuto, di conseguenza infetto gia' in partenza da un altro virus e non e' da escludere che questa tipologia di malware, come tutti, prenda i contatti di outlook e si auto-spammi in giro per il mondo.

L'e-mail gia' dall'oggetto era "odorosa", poiche' l'intestazione era meta' in caratteri latini e meta' in cirillico ed l'indirizzo da cui e' stata spedita e' in Ucraina, dove abbiamo un collaboratore che non si esprimebbe mai in ucraino/cirillico verso di noi (potrebbe al massimo farlo con me che l'ucraino lo leggo e lo scrivo senza capirci niente). Nel momento dell'apertura dell'email il client si blocca per un tot di tempo per poi crashare miseramente.

Il bello e' che i vari privilegi amministrativi paiono fargli un baffo completo visto che ha l'aria di una pagina html che si piazza al posto del desktop in perfetto stile active desktop.

il modo per bypassarlo sta solo nella velocita' di cancellazione all'avvio di ctfmon.exe da esecuzione automatica, poi con una passata di hijackthis si ripulisce il resto, facendo attenzione a non tirar via cose utili.

Se questo non dovesse bastare.... format c:

Ah.. ultima cosa il computer infetto era di un amministratore delegato, la gioia nel levargli i privilegi amministrativi.... il "clicca su tutto quello che che vedi" prima o poi finira' anche perche' gli sego direttamente il cavo eth.