Home - Articoli - Forum - Link test sicurezza - Autore del sito          
             
 
   

 

 
   
   
   

   | Sicurezza Wireless | Sicurezza VoIP | WhitePaper Sicurezza | Libri sulla Sicurezza | Manuali | Problemi Frequenti |

 

 

  

 
  Software Consigliato
     
   
     
 

GFI LANguard Network Scanner analizza e rimuove in modo facile e veloce le vulnerabilità presenti nel vostro Network

  
     
  Ora disponibile in versione Freeware per 5 IP!  
     
     
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 
 
     
 
  Acunetix Web Vulnerability Scanner
Scaricate oggi la vostra versione gratuita di prova! Controllate il vostro sito internet alla ricerca di possibili vulnerabilità da Cross Site Scripting - Gratis!
 
     

Quando un virus è attivo in un pc la prima cosa che fa è di preoccuparsi di disattivare i programmi per la sicurezza e l’antivirus in primis. Per questa ragione risulta evidente che per rimuovere un virus bisogna intervenire in modo diverso. 

Come rimuovere manualmente un virus

Se si decide di intervenire con la rimozione manuale, bisogna tenere presente che si metterà mano nel registro quindi bisogna essere consapevoli dei rischi e di quello che si sta facendo. In genere un virus quando è attivo ha un processo in memoria e inserisce una chiave nel registro per autoattivarsi ad ogni avvio, quindi una volta tolta(e) questa chiave(vi) basta poi rimuovere i file inseriti dal virus e se presente disabilitare il System Restore presente in win Me e Win XP. La domanda che uno si fa è la seguente : Come riconosco il processo del virus e la chiave del registro? La risposta è semplice, basta visitare i siti della TrendMicro, Symantec, ecc e cercare il proprio virus presente. Per questa ragione ho inserito un motore di ricerca per virus della TrendMicro per rendere facile la ricerca del virus.

Come già detto se in un pc c'è un virus è presente un processo in memoria e chiavi nel registro. Supponiamo di essere infetti dal virus MsBlast.A ormai tanto famoso. Nelle informazioni della TrendMicro oltre a una introduzione del virus con le caratteristiche è presente la sezione Solution:

Qui vengono esposti i due metodi di disinfestazione, il primo (AUTOMATIC REMOVAL INSTRUCTIONS) attraverso il Tool Trend Microcleaner e il secondo attraverso una rimozione manuale (MANUAL REMOVAL INSTRUCTIONS). I passi che si compiono nella rimozione manuale sono sempre gli stessi, cambiano solo gli attori cioè i virus ma anche se non si comprende bene l'inglese una volta capito il procedimento per gli altri virus il metodo è lo stesso:

Nella rimozione manuale Trend Micro inizia così:

 Terminating the Malware Program

This procedure terminates the running malware process from memory.

  1. Open Windows Task Manager, press
    CTRL+SHIFT+ESC, and click the Processes tab.
  2. In the list of running programs, locate the process:
    MSBLAST.EXE
     
  3. Select the malware process, then press the End Process button.
  4. To check if the malware process has been terminated, close Task Manager, and then open it again.
  5. Close Task Manager

In Italiano :

 Terninare il processo del virus

  1. Aprire Windows Task Manager, premere
    CTRL+SHIFT+ESC, e click sulla scheda dei Processi.
  2. Nella lista dei processi in esecuzione individuare il processo del virus:
    MSBLAST.EXE
     
  3. Selezionare il processo del virus, poi premere il bottone Termina Processo.
  4. Per verificare se il processo del virus è terminato chiudere il Task manager e riaprirlo nuovamente.
  5. Chiudere Task Manager

Nota : Windows 98/Me non permettono di vedere tutti i processi nel Task manager quindi è necessario utilizzare un programma di terza parti come ProceXP9x

Passo successivo:

Removing Autostart Entries from the Registry

Removing autostart entries from the registry prevents the malware from executing during startup.

  1. Open Registry Editor. To do this, click Start>Run, type Regedit, then press Enter.
  2. In the left panel, double-click the following:
    HKEY_LOCAL_MACHINE>Software>Microsoft>
    Windows>CurrentVersion>Run
  3. In the right panel, locate and delete the entry:
    "windows auto update" = MSBLAST.EXE
  4. Close Registry Editor.

NOTE: If you were not able to terminate the malware process from memory as described in the previous procedure, restart your system.

 

Rimozione delle chiavi nel registro per l'Autostart del virus

Rimuovere le chiavi nel registro del virus evita che questo non venga caricato all'avvio di Windows.

  1. Aprire l'editor del Registro. Per fare questo click Start ->Esegui, digitare Regedit, e premere  Enter.
  2. Nel pannello di sinistra selezionare il percorso seguente:
    HKEY_LOCAL_MACHINE>Software>Microsoft>
    Windows>CurrentVersion>Run
  3. Nel pannello di destra individuare e cancellare la voce:
    "windows auto update" = MSBLAST.EXE
  4. Chiudere l'editor del registro.

NOTE: Se non si è potuto terminare il processo del virus (succede), come descritto nella precedente procedura, riavviare il sistema (questo perché tolta la chiave di avvio il virus non sarà presente anche se il file (virus) è nel sistema).

Note della Trend Micro:

Additional Windows ME/XP Cleaning Instructions

Quello segnalato nel link è la procedura per disattivare il System Restore o Ripristino della configurazione del sistema. Nella sezione Tool rimozione Virus è spiegato il procedimento. Per Windows XP/Me va fatto perché una copia del virus è presente nel System Restore e gli antivirus non hanno il permesso di accedere.

Rimane ora da cancellare il o i file del virus :

Running Trend Micro Antivirus

Scan your system with Trend Micro antivirus and delete all files detected as WORM_MSBLAST.A. To do this, Trend Micro customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, Trend Micro’s free online virus scanner.

 

Eseguire Trend Micro Antivirus (o altro antivirus)

Eseguire una scansione del proprio sistema e cancellare tutti i file trovati come WORM_MSBLAST.A. Per fare questo aggiornare l'antivirus con le ultime firme pattern file e avviare la scansione. Ovviamente se l'antivirus usato è un altro bisogna comunque aggiornare il proprio antivirus. Gli utenti che non hanno un antivirus possono usare una scansione on line attraverso il servizio:  free online virus scanner.

Molte volte (come per questo virus) i virus usano vulnerabilità presenti nel proprio sistema operativo che vengono rimosse da opportune patch. Trend Micro segnala questo:

Applying Patches

  1. TrendLabs advises all affected users to apply the patch issued by Microsoft at the following page:

     

     

  2. TrendLabs also asks users to filter access to port 135 and allow trusted and internal sites only.

 

Quello che si deve fare è scaricare la patch dal sito della Microsoft è installarla.

Quello descritto nei passaggi precedenti  vale praticamente per quasi tutti virus, quello che cambia è solo il nome del processo del virus e il nome della chiave nel registro anche se qualche volta la chiave può essere più di una (2-3) e in una posizione differente. Comunque la scaletta precedentemente descritta per la rimozione manuale può essere utile per imparare ad rimuovere i virus manualmente.........
  AntiSpam Aziendale Server Consigliato    

Pagina Precedente

 Indice Problemi Frequenti

Pagina Successiva

  
 


  

Home | Autore del sito | Forum | E-mail | Supportaci |