Consenso all'uso dei cookies

SITO1 -- SITO2 -- Forum1 -- CercaGlobale -- Informativa su Cookie e Privacy


Valutazione discussione:
  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
[CHIUSO] imparare ad eliminazione un virus manualmente semza l'ausilio dell'antivirus
#1
Ciao.
Piacerebbe imparare a rimuovere un virus informatico dal pc su sistema windows.
Ho dovuto formattare il pc per instabilità e rovina dell'intero registro purtroppo: l'antivirus è stato troppo irruente e m'ha cancellato tutto Smile
Vorrei imparare a rimuovere un virus manualmente; prima di eseguire il suggerimento dell'antivirus e mettere il virus nella quarantena, ho disabilitato l'antivirus e riavviato il pc in modalità provvisoria.
Chiaramente Microsoft dispone di tools che offre agli utenti, ma l'antimalware di eccellenza che considero è malwarebytes.
Come antivirus free uso Avg, ma potrei anche utilizzare Emsisoft, Adwcleaner, Avira, Kaspersky, ma sono sempre dipendente da software e non da gestione manuale come vorrei eseguire ed imparare.
Perdere tempo con tutti questi antivirus, antimalware, faccio prima a ripristinare il sistema col l'immagine di sistema (anche se adesso, lasciare in quarantena la minaccia, non mi avrebbe recato disastri al registro con la sua eliminazione).
IO PROCEDO COSÌ PER LA RIMOZIONE DELLE CHIAVI :

apro il task manager e verifico i processi che richiedono molte risorse e prendo nota;
avvio lo scandisk da terminale come verifica e, di solito, le chiavi non eliminabili sono correlate a malware.
Poi successivamente seguo la denominazione della chiave e cerco nel sistema tutti i pacchetti correlati: HKEY_LOCAL_MACHINE  e procedo nella cartella "run"
Un tecnico specializzato offre un servizio di rimozione manuale del virus senza la facoltà di formattazione; quindi credo che si utilizzi soprattutto la gestione di approccio tramite ricerche e rimozioni manuali direttamente nel registro, e non utilizzare tools o antivirus commerciali utilizzabili da un utente comune.

Grazie per le informazioni.
Cita messaggio
Grazie da:
#2
A volte si può fare ed altre no;
per impedire al virus di partire bisogna innanzitutto aprire il Task Manager ed individuare tutti i processi sospetti, quindi terminarli;
già questa fase può essere difficile ma si può fare.
poi bisogna cercare (manualmente) in tutti i posti dove i programmi si avviano, in particolare in:
- Esecuzione Automatica (può essere più di una se sono definiti diversi utenti)
- msconfig
- Servizi in avvio automatico
- Registro di Windows, nelle seguenti chiavi (vedere quali processi sono sospetti, individuare il .exe/.com ed eliminarlo dal file system oltre che a cancellare le chiavi):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run  <--(solo Windows a 64 bit)
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce  <--(solo Windows a 64 bit)

Nei windows 9x/ME/NT c'erano altre di queste chiavi di avvio automatico
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunEx
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

Può essere di aiuto l'utility Autoruns di Microsoft (fa parte delle Sysinternals Utilities);
vanno eliminati file, chiavi e disabilitati servizi.

In teoria non è complicato, in pratica lo è molto meno e fa perdere una marea di tempo.
Ne perdi molto meno a ripristinare un sistema pulito
Il mio blog: ZEROZEROCENT.BLOGSPOT.COM
LEGGE DI MURPHY: SE QUALCOSA PUO' ANDAR MALE, LO FARA'
VERSIONE QUANTISTICA DELLA LEGGE DI MURPHY: TUTTO VA MALE CONTEMPORANEAMENTE
Cita messaggio
Grazie da:
#3
ok.
Chiedo se eseguire il mio processo di verifica scandisk sia solo perdita di tempo.
A volte utilizzo il comando netstat -ano per verificare a cosa appartengono i processi denominati in PID nel task manager; poi continuo nella ricerca delle stringhe copiando nel motore di ricerca google a cosa si riferisce quel PID.
Pare di aver capito che NON sempre è possibili eliminarlo, la formattazione è l'unica soluzione; perchè ?
Diciamo che se gli antivirus, ccleaner, revounistaller non riescono a rimuovere tutte le dipendenze, è quasi impossibile riuscire ad eliminarlo manualmente ?
Cita messaggio
Grazie da:
#4
Se non sai di che virus si tratta e come opera, come pensi di farlo manualmente se non ci riesce neanche uno strumento specifico?
dovresti cancellarlo fisicamente insieme a tutti i rimasugli che lascia in giro...
Il mio blog: ZEROZEROCENT.BLOGSPOT.COM
LEGGE DI MURPHY: SE QUALCOSA PUO' ANDAR MALE, LO FARA'
VERSIONE QUANTISTICA DELLA LEGGE DI MURPHY: TUTTO VA MALE CONTEMPORANEAMENTE
Cita messaggio
Grazie da:
#5
(12-11-2016,15:21 )BAT Ha scritto: Se non sai di che virus si tratta e come opera, come pensi di farlo manualmente se non ci riesce neanche uno strumento specifico?
dovresti cancellarlo fisicamente insieme a tutti i rimasugli che lascia in giro...

Dalle ricerche del PID d'appartenza, potrebbe aiutarmi ulteriormente a trovare tutti "pezzi" di collegamenti e  processi ?
Per "tutti i file che lascia in giro", lo scandisk, avviato come lettura, tornerebbe utile nelle ricerche nell'intero sistema ?
Cita messaggio
Grazie da:
#6
Lo scandisk serve a riparare file danneggiati, altri file (fisicamente sani nel file system) o eseguibili devono essere cancellati a mano, per cui devi sapere quali sono, coi PID non ci fai niente a meno che non riesci a risalire al file .exe che ha lanciato il processo (è quello che devi cancellare altrimenti va di nuovo in esecuzione all'avvio successivo).
Per risalire agli eseguibili devi analizzare, come ti ho già detto, i file che si avviano in modo automatico.
Il mio blog: ZEROZEROCENT.BLOGSPOT.COM
LEGGE DI MURPHY: SE QUALCOSA PUO' ANDAR MALE, LO FARA'
VERSIONE QUANTISTICA DELLA LEGGE DI MURPHY: TUTTO VA MALE CONTEMPORANEAMENTE
Cita messaggio
Grazie da:
#7
(12-11-2016,18:37 )BAT Ha scritto: Lo scandisk serve a riparare file danneggiati, altri file (fisicamente sani nel file system) o eseguibili devono essere cancellati a mano, per cui devi sapere quali sono, coi PID non ci fai niente a meno che non riesci a risalire al file .exe che ha lanciato il processo (è quello che devi cancellare altrimenti va di nuovo in esecuzione all'avvio successivo).
Per risalire agli eseguibili devi analizzare, come ti ho già detto, i file che si avviano in modo automatico.

ok, lo scandisk non mi aiuta nelle ricerche perchè si occupa di file non inerenti al funzionamento di un virus Smile
Devo monitorare i processi del task manager e osservare quali possano essere causa di un malfunzionamento; successivamente fare ricerche su internet correlate al processo
sospetto e rimuovere tutti i collegamenti dai parametri da te indicati.
Se il virus ha intaccato il sistema in modo irreversibile, l'unica soluzione è la formattazione.
ps: il programma Process Explorer mi pare più specifico del classico task manager di windows per verificare tutti i collegamenti del processo, me lo consigli ?


AGGIUNGO ARGOMENTO CORRELATO:
Guardandomi i processi di netstat, ho notato che gli stati sono nominati in ESTABLISHED;  TIME_WAIT  ecc...
Questa guida mi spiega il significato della digitura: https://ombresulweb.com/2013/01/02/windo...nnessioni/
Io devo stabilire il controllo solo negli stati ESTABLISHED ?
Cita messaggio
Grazie da:
#8
Se è un rootkit le chiavi di registro e i file che io sappia non si vedono a windows avviato.
Cita messaggio
Grazie da:
#9
(12-11-2016,21:35 )ps3love Ha scritto: Se è un rootkit le chiavi di registro e i file che io sappia non si vedono a windows avviato.
vero, infatti il metodo "manuale" è più una questione di fortuna, nel senso che devi essere fortunato ad aver preso un virus fastidioso ma non distruttivo e non sofisticato;
per quanto mi riguarda il sospetto di virus va debellato alla radice con ripristino di immagine di sistema funzionante e relativa sovrascrittura del MBR, coi moderni rootkit e ransomware non è propiro il caso di rischiare
Il mio blog: ZEROZEROCENT.BLOGSPOT.COM
LEGGE DI MURPHY: SE QUALCOSA PUO' ANDAR MALE, LO FARA'
VERSIONE QUANTISTICA DELLA LEGGE DI MURPHY: TUTTO VA MALE CONTEMPORANEAMENTE
Cita messaggio
Grazie da:


Vai al forum:


Utenti che stanno guardando questa discussione: 1 Ospite(i)