Spyware e Malware: chi ci spia ?

Esiste un nuovo tipo di software in circolazione su Internet, di cui forse avete già sentito parlare. È il cosiddetto spyware, o software spia, e nella maggior parte dei casi arriva nei nostri computer mentre scarichiamo qualcosa che ufficialmente è gratuito.

Cos'è un software ingannevole?
Lo spyware e l'adware non autorizzato sono due esempi di software "ingannevole".
Per software ingannevole si intende software che prende possesso della pagina iniziale o della pagina di ricerca senza chiedere il permesso all'utente. Sono molti i modi in cui il software ingannevole può arrivare nei sistemi degli utenti. Spesso viene installato di nascosto durante l'installazione di altro software desiderato dall'utente, ad esempio programmi per la condivisione di file musicali o video.
Talvolta il software ingannevole viene installato nel sistema silenziosamente, senza alcun preavviso. Vi è mai successo che vi venisse chiesto più e più volte di accettare un download anche dopo che avevate detto "no"? Gli autori di software ingannevole ricorrono spesso a trabocchetti come questo per indurre gli utenti ad accettare il loro software.

Tip: consiglio di stampare l’editoriale e di tenerlo pronto affianco alla tastiera.

Chi sono i Microsoft MVP – Most Valuable Professionals?

Operazioni preliminari Operazioni preliminari
E ora procediamo… E ora procediamo…
1° Passo: test e scansioni antivirus/worm on-line 1° Passo: test e scansioni antivirus/worm on-line
2° Passo - Strumenti per la “pulizia”: - Trend Micro Sysclean, Ewido, Ad-aware, SpyBot S&D… 2° Passo - Strumenti per la “pulizia”: - Trend Micro Sysclean, Ewido, Ad-aware, SpyBot S&D…
3° Passo: CWShredder, RootkitRevealer, Startup control 3° Passo: CWShredder, RootkitRevealer, Startup control
4° Passo. Strumenti avanzati di controllo e disinfezione: HijackThis 4° Passo. Strumenti avanzati di controllo e disinfezione: HijackThis
5° Passo. Ripristino delle condizioni predefinite di Internet Explorer 5° Passo. Ripristino delle condizioni predefinite di Internet Explorer
Il Phishing… Il Phishing…
Consigli sulla sicurezza: come evitare di rimanere di nuovo infettati Consigli sulla sicurezza: come evitare di rimanere di nuovo infettati
Nozioni di base su protezione, sicurezza e privacy in Internet Explorer 6 Nozioni di base su protezione, sicurezza e privacy in Internet Explorer 6
I miei consigli: I miei consigli:
 

Operazioni preliminari

Riavvia il computer in Modalità provvisoria: premi più volte il tasto funzione F8 subito dopo le prime schermate del BIOS.

1) Chiudi tutte le applicazioni, compresi Internet Explorer ed Outlook Express.
Vai in Pannello di controllo -> Opzioni internet -> scheda “Generale”

Eimina tutti i file temporanei Internet, scegli “Elimina tutto il contenuto anche non in linea

Cancella Cronologia

Elimina i Cookies

Opzioni internet -> Impostazioni: imposta la cache dei Temporary Internet Files a 50/60 mb

Opzioni internet -> Contenuto -> Completamento automatico: “Cancella moduli” + “Cancella password”.

Usa CCleaner, un ottimo “pulitore” freeware, con modulo della lingua italiana:

 

Produttore: http://www.ccleaner.com

Download qui: http://www.ccleaner.com/download126.asp

O qui: http://www.majorgeeks.com/download4191.html

Guida:http://www.aiutamici.com/software/descrizione.asp?CodSw=1223

Vai in Pannello di controllo -> Opzioni Internet -> premi il pulsante “Impostazioni” -> quindi “Visualizza oggetti”: rimuovi tutti gli oggetti (applet, controlli ActiveX, ecc.) che riconosci di non avere installato, verificandone le “Proprietà” (clic destro -> Proprietà)

2) (Facoltativo) Verifica le Proprietà di tutti i file di data recente con estensione .hta, .htm .vbs e .js presenti nel disco rigido. I files .hta, .htm e .js sono solitamente di natura “benigna” (generati da applicazioni Web based). Alcuni parassiti, però, utilizzano files con le suddette estensioni per eseguire codice nocivo nel tuo computer.

3)Elimina tutti i file e le cartelle contenuti nella cartella "Temp" di Windows e tutti i file con estensione .tmp e .temp presenti sul disco rigido (Usa il comando Cerca o Trova di Windows).

Ora Svuota il Cestino.

4) Vai in Pannello di controllo -> Aggiungi o Rimuovi Programmi / Installazione applicazioni -> Rimuovi tutte le applicazioni che riconosci di non avere volontariamente installato.

5) Scegli Opzioni cartella dal menu Strumenti in Risorse del computer o Esplora risorse. Fai clic sulla scheda Visualizza, clic su “Visualizza cartelle e file nascostie deseleziona la casella di controllo “Nascondi i file protetti di sistema (consigliato)”.

Scegli alla richiesta di conferma della modifica e quindi scegli Ok.

Nota importante: una volta terminate le verifiche e le operazioni di rimozione di spy/malware è necessario ripristinare le impostazioni di default in Opzioni cartella.

6) Start -> Trova (Cerca) il file Hosts (non ha estensione, nonHosts.sam) e rinominalo in oldhosts.

7) Disattiva i componenti aggiuntiviche ritieni sospetti (solo in Windows Xp SP2)

Procedi come descritto nel seguente articolo della Microsoft Knowledge Base:

http://support.microsoft.com/kb/883256/it

“Gestione dei componenti aggiuntivi di Internet Explorer in Windows XP Service Pack 2”

8)Installazione di un browser alternativo.

Se le funzionalità di Internet Explorer risultano irreparabilmente compromesse dall’infezione, e quindi non è possibile connettersi a internet, è necessario installare un altro browser per seguire le indicazioni di questo editoriale. Si può procedere al download di Mozilla Firefox o di Opera da un altro computer per poi installarlo sulla macchina infettata o utilizzare un cd (come ad esempio i service disk allegati alle migliori riviste di informatica, che contengono vari software utili).

Riavvia Windows in Modalità Normale.

E ora procediamo

Per rendere più agevole l'analisi e la risoluzione dei problemi consiglio di procedere per "Passi". La prima operazione da eseguire è un test on-line per verificare la presenza di queste applicazioni "malefiche". Ecco due link a pagine Web di MVP, specifiche per la ricerca di malware, spyware, hijackers, dialers ed altri programmi nocivi:

1° Passo: test e scansioni antivirus/worm on-line

A- Test on line: "Do You have parasites?"

Click qui http://aumha.org/a/noads.htm

Click qui http://inetexplorer.mvps.org/archive/parasite.htm

I link indirizzano a siti dove viene controllato il computer per mezzo di script. Da considerare che il database delle applicazioni malware e spyware di tali siti non dispone di un aggiornamento in tempo reale, per cui è opportuno utilizzare comunque SpyBot, Ad-aware e gli altri software, come di seguito indicato.

B - "Strumento di rimozione malware per Microsoft Windows (KB890830)"
(Sistemi operativi supportati: Windows 2000, Windows Server 2003, Windows XP).

Download:

http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=it

http://go.microsoft.com/fwlink/?LinkId=40587

http://snipurl.com/MS_Removal

Scansione antispy/malware on line:
http://www.microsoft.com/security/malwareremove/default.mspx

Esegui direttamente lo Strumento di rimozione malware!

Fai click qui http://www.microsoft.com/italy/security/malwareremove/default.mspx#run

- Il tool non viene installato sul computer e non si trova quindi in Pannello di controllo -> Installazione applicazioni ma occupa una cartella temporanea nella directory del disco rigido che viene eliminata al successivo riavvio del sistema.

- Il secondo martedì di ogni mese lo strumento viene aggiornato (in base alle segnalazioni che in background vengono inviate dagli utenti che lo eseguono) e reso disponibile in Microsoft Windows Update o nel MS Download Center.
- L'ultima release contiene sempre le firme antispy/malware precedenti e le nuove.
- In alcuni casi possono essere rilasciate versioni del tool anche al di fuori del programma mensile stabilito (ad esempio quando si verificano propagazioni critiche improvvise di virus o worm).

Il report della scansione si trova in %windir%\Debug\Mrt.log
Start -> Esegui -> nella casella “Apri” copia incolla la stringa %windir%\Debug\Mrt.log -> Ok

Il report è simile al seguente:


***
Microsoft Malicious Software Removal Tool v1.0, January 2005

Started On Wed Jan 12 00:06:30 2005

Removal Tool Results:
No infection found.

Microsoft Malicious Software Removal Tool

Finished On Wed Jan 12 00:06:33 2005
***

Qui trovi tutte le informazioni: http://support.microsoft.com/kb/890830

"L'utilità di Microsoft Windows per la rimozione di software dannoso facilita l'eliminazione di specifici componenti software dannosi dai computer che eseguono Windows Server 2003, Windows XP o Windows 2000".

Un aiuto in caso di errori.

http://support.microsoft.com/?kbid=891717

"Visualizzazione di un messaggio di errore durante l'esecuzione dell'utilità di Microsoft Windows per la rimozione di software dannoso".

C – Vai qui: http://safety.live.com/site/en-US/default.htm “Service Centers” (New!)

Fai clic sul pulsante

Windows Live Safety Center is a new, free service designed to help ensure the health of your PC.

http://www.microsoft.com/athome/security/update/windows_live_safety_center.mspx

Get a free safety scan for your computer

WindowsLiveSafetyCenter helps tune up your computer

D - Free Online Virus Scanners:

http://blogs.dotnethell.it/vincent/Post_2046.aspx

http://windowsxp.mvps.org/Scanners.htm (Courtesy ofMVP Ramesh

E - http://it.trendmicro-europe.com/consumer/housecall/housecall_launch.php

"Scansione con HouseCall" - Trend Micro's online virus scanner.

HouseCall è uno strumento innovativo per la scansione e la pulizia dei virus e la verifica di altri problemi di sicurezza del vostro sistema. HouseCall è basato sulla Tecnologia Java che permette di supportare quasi tutte le piattaforme per le quali la Trend Micro progetta Soluzioni per la Sicurezza.

http://www.trendmicro.com/spyware-scan/
“Trend Micro™ Anti-Spyware for the Web”

http://housecall60.trendmicro.com/en/start_corp.asp?id=scan
“ Trend Micro™ Housecall”

http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm
“Panda ActiveScan” (scegli "fix" o "clean")

http://www.kaspersky.com/virusscanner
“Kaspersky Anti-Virus: Free Online Virus Scanner”

http://www.spywareinfo.com/xscan.php

http://www.pestscan.com/

http://www.spywareguide.com/onlinescan.php

http://www.windowsecurity.com/trojanscan/ (TrojanScan)

Una volta giunti in queste pagine viene richiesto di scaricare un controllo ActiveXche effettuerà un'efficace controllo per la ricerca ed eliminazione di eventuali parassiti presenti nel computer. Rispondere "Si" e proseguire.

F - Uno Strumento di Rimozione costantemente aggiornato (rimuove oltre 50 tra i più diffusi worm/virus):

McAfee AVERT Stinger: http://vil.nai.com/vil/stinger/

Download: http://download.nai.com/products/mcafee-avert/stinger.exe

G -Altro ottimo Strumento di Rimozione:

http://www.avast.com/eng/avast_cleaner.html

“avast! Virus Cleaner - Free virus & worm removal tool”

Strumenti per il ripristino della connessione internet

Attenzione: - Prima di utilizzare i programmi per la ricerca e rimozione del malware è necessario scaricare LSPFix, un’applicazione che ripristina la connessione Internet rimossa o danneggiata da alcuni spy/malware, a questo link: http://www.cexx.org/lspfix.htm

Ed anche Winsockxpfix (solo WinXP)

In Windows Xp Service Pack 2 è possibile riparare Winsock nel seguente modo:

Start -> Esegui -> digita “cmd” (senza virgolette) -> Ok

Al prompt dei comandi digitare quanto segue, quindi premere [INVIO]:

netsh Winsock reset

Al termine del programma verrà visualizzato il seguente messaggio:

Reimpostazione catalogo Winsock completata. È necessario riavviare il computer.

Reset dello stack tcp/ip: Start -> Esegui -> digita “cmd” (senza virgolette) -> OK

Al prompt dei comandi digitare quanto segue, quindi premere [INVIO]:

netsh int ip reset reset.log
Entrambi i comandi vanno lanciati previa chiusura di tutte le applicazioni.

Una volta individuati i malware che infettano il computer, è necessario affinare l'indagine e procedere alla loro rimozione.

Premessa importante!

• Consiglio di utilizzare gli strumenti descritti nei “Passi” uno dopo l'altro, sino alla risoluzione del problema.

 

2° Passo - Strumenti per la “pulizia”: - Trend Micro Sysclean, Ewido, Ad-aware, SpyBot S&D…

Controllo e disinfezione antimalware: Trend Micro Sysclean

Crea una nuova cartella e chiamala Sysclean (ad esempio in C:\Programmi\Sysclean o sul Desktop). Esegui il download di Sysclean.com da qui:

http://www.trendmicro.com/download/dcs.asp nella cartella appena creata.

- Scarica l’ultimo “Trend Pattern File” zip da http://www.trendmicro.com/download/pattern.asp ed estrai il suo contenuto nella stessa cartella.

- Leggi le istruzioni nel file Readme text: http://www.trendmicro.com/ftp/products/tsc/readme.txt

- Chiudi tutte le applicazioni, antivirus compreso, e lancia Sysclean.

- Per un risultato ottimale non eseguire altre operazioni sul computer sino a che la scansione non sia terminata.

Sysclean termina tutte le istanze del malware residenti in memoria, rimuove chiavi e valori del Registro di Configurazione generati dal malware, rimuove i files creati dal malware nelle cartelle di sistema ed infine scansiona e rimuove tutte le copie del malware esistenti nei dischi locali.

• Ad-aware 6TM

Freeware (per uso personale) Ad-aware SE (Standard Edition) Personal è un’ottima applicazione per l'individuazione e rimozione di spy/malware:http://www.lavasoftusa.com/support/download/

Il download di Ad-aware ultima release può essere effettuato qui:

http://lavasoft.element5.com/italian/support/download/

http://www.majorgeeks.com/download506.html

http://aumha.org/a/quickfix.php

Attenzione!

• Un'operazione necessaria, prima di eseguire la scansione del computer, è l'aggiornamento delle firme antispy/malware (proprio come per l'antivirus!) dei programmi.

Solo con un database aggiornato, contenente tutti i riferimenti a programmi spy, malware e dialers anche recenti, siamo sicuri che l'esito della verifica e della pulizia siano efficaci.

Sia in SpyBot S&D che in Ad-aware esiste un apposito pulsante per l'update delle firme.

Ewido security suite (consigliato):

http://www.ewido.net/en/download/

(Compatibile solo con Windows 2000 e XP)

Il setup contiene le versioni free e plus di Ewido Security Suite.

Dopo l’installazione verrà attivata una versione di test valida per 14 giorni, contenente tutte le estensioni della versione “plus”. Al termine della fase di test, le estensioni della versione “plus” verranno disattivate e la versione freeware potrà essere utilizzata per un tempo illimitato.

E’ disponibile il modulo della lingua italiana.

SpyBot Search & Destroy di Patrick M. Kolla

Download:

http://www.safer-networking.org/it/download/index.html

http://www.majorgeeks.com/downloads31.html

http://aumha.org/a/quickfix.php

 

Leggi le FAQ's: http://www.safer-networking.org/it/faq/index.html

Aggiorna le firme antispy/malware: http://www.safer-networking.org/it/howto/update.html

Guida rapida: http://www.safer-networking.org/it/tutorial/index.html

Istruzioni per il corretto uso di SpyBot S&D e Ad-aware:

- Riavvia Windows in Modalità provvisoria: premi più volte il tasto funzione F8 subito dopo le prime schermate del BIOS.

E' buona regola analizzare il sistema con tutti e due i programmi, eseguendoli uno dopo l'altro, per aumentare le probabilità di individuazione e conseguente rimozione dei software maligni.

Effettuata la prima scansione con i due software è necessario riavviare il computer (sempre in Modalità provvisoria!) e lanciare di nuovo la verifica con entrambi.

Sia SpyBot Search & Destroy che Ad-aware non sono infallibili ma fanno certamente un grosso lavoro, specialmente nel Registro di configurazione di Windows, procedendo all'individuazione ed eliminazione di chiavi in modo "chirurgico" ed evitando così all'utente inesperto interventi manuali pericolosi e dall'esito incerto nel luogo delicatissimo dove il sistema operativo custodisce tutte le impostazioni hardware e software del computer, appunto il Registry.

Windows® Defender (Beta 2)

http://www.microsoft.com/athome/security/spyware/software/default.mspx
Windows Defender (Beta 2) is a free program that helps you stay productive by protecting your computer against pop-ups, slow performance and security threats caused by spyware and other potentially unwanted software.

Download:
http://www.microsoft.com/downloads/details.aspx?FamilyId=435BFCE7-DA2B-4A6A-AFA4-F7F14E605A0D&displaylang=en

http://www.microsoft.com/athome/security/spyware/software/about/faq.mspx
Frequently asked questions about Windows

Importante: dopo aver eseguito le scansioni con SpyBot S&D, Ad-aware e Windows Defender (Beta 2) vai in Pannello di controllo -> Opzioni internet -> Programmi -> e premi il pulsante “Ripristina impostazioni Web”.

Se SpyBot S&D e Ad-aware, una volta lanciati si chiudono immediatamente, è segno che il computer è stato colpito da una variante di CoolWWWSearch che intercetta i software ed i siti antispy.

In tal caso è necessario eseguire CoolWWWSearch.SmartKiller (v1/v2) MiniRemoval,prelevabile qui:

http://www.safer-networking.org/files/delcwssk.zip

http://www.safer-networking.org/minifiles.html

http://www.majorgeeks.com/download4113.html

Altri strumenti consigliati

(usali se SpyBot S&D, Ad-aware e gli altri software non hanno risolto il problema):

Spy Sweeper:

http://www.webroot.com/it/products/spysweeper/

Download della versione di prova: http://www.webroot.com/download/trial/ssfisetup1_1808819366.exe

http://www.majorgeeks.com/download3263.html

“a-squared Free”: http://www.emsisoft.it/it/software/free/(Consigliato)

a-squared e' un prodotto complementare a software antivirus e firewall desktop per computer con MS Windows. I Software Antivirus sono specializzati nel rilevare virus classici.

Molti prodotti disponibili hanno problemi nel rilevare altri software maliziosi (Malware) come Trojans, Dialers, Worms e Spyware (Adware). a-squared tappa i buchi che vengono utilizzati dai programmatori di malware.

Bazooka Spyware Scanner:http://www.kephyr.com/spywarescanner/index.html

(è necessario essere connessi ad Internet durante la scansione).

3° Passo: CWShredder, RootkitRevealer, Startup control

Se SpyBot Search & Destroy, Ad-aware e Microsoft Windows AntiSpyware (Beta), nonché gli altri strumenti consigliati, non riescono nel loro compito di individuazione ed eliminazione delle applicazioni maligne è necessario utilizzare anche Trend Micro CWShredder.

Trend Micro CWShredder

CWShredder è un programma specifico per la rimozione di un parassita piuttosto diffuso e difficile da estirpare, “CoolWebSearch” (CWS) e le sue migliaia (!) di varianti.

http://www.intermute.com/products/cwshredder.html

• Download:

http://www.intermute.com/spysubtract/cwshredder_download.html

http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe

http://www.majorgeeks.com/download3019.html

• Guida in italiano: http://www.ilsoftware.it/forum/viewtopic.php?t=29030

Riavvia il computer in Modalità provvisoria, scompatta il file .zip, chiudi tutti i programmi, compreso l’antivirus, ed esegui CWShredder.exe (scegli “Fix”, non “Scan”!).

Guida per l’uso di CWShredder (inglese):

• Process Explorer

Process Explorer di Mark Russinovich è un programma freeware che permette di verificare quali applicazioni sono aperte o in esecuzione e le librerie a collegamento dinamico, .dll, collegate alle stesse.

Informazioni e download qui: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

• Filemon for Windows

Filemon for Windows di Mark Russinovich and Bryce Cogswell:

- http://www.sysinternals.com/ntw2k/source/filemon.shtml

• RootkitRevealer

http://www.sysinternals.com/utilities/rootkitrevealer.html (Informazioni in lingua inglese):

RootkitRevealer is an advanced patent-pending root kit detection utility. It runs on Windows NT 4 and higher and its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit. RootkitRevealer successfully detects all persistent rootkits published at www.rootkit.com, including AFX, Vanquish and HackerDefender (note: RootkitRevealer is not intended to detect rootkits like Fu that don't attempt to hide their files or registry keys). If you use it to identify the presence of a rootkit please let us know!

What is a Rootkit?

The term rootkit is used to describe the mechanisms and techniques whereby malware, including viruses, spyware, and trojans, attempt to hide their presence from spyware blockers, antivirus, and system management utilities. There are several rootkit classifications depending on whether the malware survives reboot and whether it executes in user mode or kernel mode.

http://www.microsoft.com/italy/technet/security/guidance/avdind_2.mspx

Rootkit: si tratta di raccolte di programmi software che gli hacker possono utilizzare per ottenere l'accesso remoto non autorizzato a un computer per lanciare altri attacchi. Questi programmi possono utilizzare una serie di tecniche diverse, incluso il monitoraggio della pressione dei tasti, la modifica dei file di registro del sistema o di applicazioni esistenti, la creazione di una backdoor nel sistema e l'avvio di attacchi contro altri computer della rete. I rootkit sono in genere organizzati in una serie di strumenti regolati e indirizzati a uno specifico sistema operativo. I primo rootkit sono stati identificati nei primi anni '90 e in quel periodo gli obiettivi principali erano costituiti dai sistemi operativi Sun e Linux. Attualmente sono disponibili rootkit per una serie di sistemi operativi, inclusa la piattaforma Microsoft Windows.

Procedure per la rimozione del trojan Winfixer (Vundo - Virtumonde)

Four approaches to removing Winfixer (Vundo)

Controllo dei programmi eseguiti all'avvio del sistema operativo

- StartUp CPL: http://www.mlin.net/StartupCPL.shtml

- STARTUP LIST

http://www.pacs-portal.co.uk/startup_index.htm

http://www.3feetunder.com/krick/startup/list.html

http://www.sysinfo.org/startupinfo.html

Silent Runners

http://www.silentrunners.org/sr_thescript.html

Download:http://www.silentrunners.org/sr_download.html

Using the Script: http://www.silentrunners.org/sr_scriptuse.html

"Startup Inspector for Windows".

http://www.windowsstartup.com/

"Service Controller XP".
http://www.ilsoftware.it/querydl.asp?ID=753

StartupRun v1.22 - Copyright (c) 2003 - 2004 Nir Sofer:

http://www.nirsoft.net/utils/strun.html

4° Passo. Strumenti avanzati di controllo e disinfezione: HijackThis

HijackThis, di Merijn Bellekom
Molto potente ed efficace. Scaricabile al seguente link, ove viene spiegato come funziona e cosa fare: http://www.spywareinfo.com/~merijn/downloads.html
HijackThis download: http://www.majorgeeks.com/download.php?id=31
http://aumha.org/downloads/hijackthis.zip

Guide Hijackthis

Un aiuto per l'analisi dei files log di HijackThis:

http://www.ilsoftware.it/articoli.asp?ID=2459

“HijackThis: guida all'uso con esempi pratici per eliminare malware e spyware”

http://www.ilsoftware.it/hijackthis.asp

“Analisi automatica log HijackThis“ – in italiano (Indicativa, chiedere sempre ad un esperto!)

http://www.spywareinfo.com/~merijn/htlogtutorial.html#o8 (Inglese)

"How to use HijackThis to remove Browser Hijackers & Spyware "

http://www.bleepingcomputer.com/forums/index.php?showtutorial=42 (Inglese)

“HijackThis Tutorial - How to use HijackThis to remove Browser Hijackers & Spyware”

Tip - Non scaricare l’eseguibile (o il file .zip da decomprimere) di Hijackthis sul Desktop ma in una nuova cartella da te appositamente creata.

Cautela nell’utilizzo di Hijackthis! Lo strumento è molto potente e destinato ad utenti avanzati. Prima di eseguire le fix (Fix checked) evidenziate dal programma è indispensabile leggere con attenzione i Tutorial sopra indicati e chiedere necessariamente il parere di un esperto nei newsgroups sulla sicurezza italiani, come ad esempio:

microsoft.public.it.sicurezza o it.comp.sicurezza.virus

Puoi inoltre inviare una richiesta di aiuto qui:

http://forums.spywareinfo.com/index.php?b=1

- Premi il pulsante "Register" -> Welcome Guest (Log In | Register) e ti trovi qui:

http://snipurl.com/6qou

- Completa la procedura di registrazione e vai:

http://forums.spywareinfo.com/index.php?showforum=18

- Premi il pulsante "New Topic" ed inoltra il file di .log di Hijackthis.

Oppure in questo forum, curato da MVP USA: http://forum.aumha.org/viewforum.php?f=30

- Registrati: http://forum.aumha.org/profile.php?mode=register

- Quindi torna alla pagina del forum e premi il pulsante "NewTopic".

Inoltra il file di .log di HJThis e cerca di avere un po’ di pazienza (il forum è frequentatissimo), qualche esperto ti risponderà.


La finestra di HijackThis al primo avvio

E dopo la scansione

Operazioni finali. Ripristino configurazione di sistema

Se si utilizzano i sistemi operativi Windows Xp o Windows Millenium Edition, una volta ripulito per bene il computer, è necessario eliminare tutti i punti di ripristino del sistema, che possono essere infettati dallo spy/malware appena rimosso.

5) Disattivare il Ripristino configurazione di sistema, come descritto qui di seguito:

“Come disattivare o attivare Ripristino configurazione di sistema in Windows XP”
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/idocid/20020823151930924

“Come disattivare o attivare Ripristino configurazione di sistema in Windows Me”
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/idocid/20020823135942924


Proprietà sistema di Windows XP

Creazione manuale di un nuovo Punto di ripristino

Ora che abbiamo un sistema perfettamente pulito, è possibile, e consigliabile, creare un nuovo Punto di ripristino.

Da Start, selezionare Tutti i programmi -> Accessori -> Utilità di sistema -> Ripristinoconfigurazione di sistema e, nella finestra che appare, scegliere “Crea un punto di ripristino” -> fare clic su “Avanti”, immettere una descrizione del Punto di ripristino e fare clic su “Crea”.

5° Passo. Ripristino delle condizioni predefinite di Internet Explorer

Pulizia effettuata? Ora ristabiliamo un po' d'ordine nelle barre degli strumenti e ripuliamo Internet Explorer da pulsanti e menu aggiuntivi, lasciati in eredità da spy/malware e hijackers. Gli script e file .reg che segnalo ripristinano le schede originarie nelle Opzioni Internet e rimuovono menu, barre aggiuntive ed altri items installati dai parassiti.

Ripristino delle Schede e rimozione delle restrizioni in Opzioni Internet

http://www.kellys-korner-xp.com/regs_edits/iegentabs.reg

Autosearch hijacking fix (ripristina il motore di ricerca predefinito di IE)

http://www.spywareinfo.com/downloads/tools/IEFIX.reg

http://www.kellys-korner-xp.com/regs_edits/RestoreSearch2.REG

Repairs the corrupted or altered (spyware) HTTP prefixes

http://mvps.org/winhelp2002/RepairDefaultPrefix.reg

Toolbarcop: Rimozione voci menu, pulsanti e barre aggiuntive.

http://windowsxp.mvps.org/toolbarcop.htm

"How to remove toolbars, toolbar icons and Browser Helper Objects?"

- Download:

http://www.majorgeeks.com/download.php?det=4126

http://www.softpedia.com/progDownload/Toolbarcop-Download-8846.html

http://mvps.org/winhelp2002/unwanted.htmRemoving

Barre strumenti bloccate, nascoste o scomparse:

http://blogs.dotnethell.it/vincent/Post_2259.aspx
"Troubleshooting: Barre degli Strumenti di Internet Explorer".

http://www.dougknox.com/xp/utils/xp_toolbarfix.htm

http://windowsxp.mvps.org/ie/lockedbars.htm

http://windowsxp.mvps.org/reg/IE_reset_restrictions.reg

 

Articoli della Microsoft Knowledge Base utili:

http://support.microsoft.com/?kbid=320159
"L'impostazione della home page si modifica in modo inatteso o risulta impossibile modificarla".

http://support.microsoft.com/?kbid=323869
"Nella finestra del browser viene visualizzato improvvisamente un sito Web per adulti quando si fa clic su Cerca".

http://support.microsoft.com/?kbid=827315
“Un problema inspiegato del computer potrebbe verificarsi a causa di software ingannevole”.

Qui un elenco dei principali articoli sullo spyware:

http://search.microsoft.com/search/results.aspx?st=b&na=80&qu=spyware&View=it-it

Guida alla difesa antivirus a più livelli

La “Guida alla difesa antivirus a più livelli” fornisce una panoramica facilmente comprensibile dei diversi tipi di software dannoso, con informazioni sui rischi impliciti, sulle caratteristiche del software, sui veicoli di replica e sui payload. Nella Guida sono riportate considerazioni dettagliate per la pianificazione e l'implementazione di una difesa antivirus completa per le organizzazioni e informazioni per la pianificazione di una difesa a più livelli, oltre agli strumenti correlati che è possibile utilizzare per ridurre il rischio di infezioni. Nell'ultimo capitolo della Guida è riportata una metodologia globale che consente una risposta rapida ed efficace per il ripristino da violazioni o attacchi da parte di software dannoso.

Altri utili strumenti per la ricerca / eliminazione di spyware/malware

"BHODemon" di Definitive Solutions.
Il Browser Helper Object, o BHO, è un'applicazione "maigna" che si esegue automaticamente ogni volta che viene avviato il browser.
Leggi qui come funziona e cosa fa BHODemon, freeware:
http://www.definitivesolutions.com/bhodemon.htm

Download: http://www.majorgeeks.com/download3550.html

Link utili:

The Trouble With Spyware & Advertising-Supported Software (un sito di riferimento):
http://www.cexx.org/problem.htm

Lista aggiornata degli spyware:
http://www.spywareguide.com/index.php

Siti specializzati nella lotta a malware, spyware e hijacking, costantemente aggiornati:

http://mvps.org/winhelp2002/unwanted.htm (Top Site degli MVP USA)

http://mvps.org/winhelp2002/hosts.htm - Come bloccare i parassiti con il file Hosts!

http://www.mvps.org/sramesh2k/Defend_CWS.htm dell’MVP Ramesh

http://aumha.org/a/parasite.htm dell’MVP James A. Eshelman

http://inetexplorer.mvps.org/darnit.html dell’MVP SandraSandiHardmeier

Merijn.org “News and Updates”: http://216.180.233.162/~merijn/index.html

http://defendingyourmachine.blogspot.com/

SpywareInfo, the spyware and hijackware removal specialists:
http://www.spywareinfo.com/

DOXdesk: http://doxdesk.com/parasite/

Prevenzione

SpywareBlaster, un eccellente programma che previene l'installazione di spy/malware (da aggiornare ogni settimana): http://www.javacoolsoftware.com/spywareblaster.html

SpywareGuard: http://www.wilderssecurity.net/spywareguard.html Molto efficace, da utilizzare insieme a SpywareBlaster.

Spyblocker (a pagamento): http://www.spywareinfo.com/downloads/spyblocker/

Internet Spy Hunter : http://www.majorgeeks.com/download1524.html

Security Task Manager: : http://www.neuber.com/taskmanager/ molto utile per tenere sotto controllo i processi e valutare se alcuni di questi possano essere relativi a “malware”.

Software Anti Dialers:

Digisoft AntiDialer : http://www.digisoft.cc/antidialer.asp

Stop Dialers: http://www.socket2000.com/index.asp?id=1

Pop-up windows, come combatterle e neutralizzarle:

Google Toolbar: http://toolbar.google.com/intl/it/

MSN Toolbar: http://toolbar.msn.it/

Nota: Il Service Pack 2 per Windows Xp permette di gestire in modo autonomo le finestre Pop-up di Internet Explorer e gli oggetti (applets e controlli Active X) di terze parti installati nel computer.

Pop-up filters: http://www.spywareinfo.com/downloads.php?cat=popup#popup

Privoxy:http://www.privoxy.org/oltre a bloccare popups e filtrare contenuti, permette anche, impostando opportunamente le regole di filtraggio, di ovviare ad alcune delle vulnerabilità di IE.

Il Phishing…

 

http://www.microsoft.com/italy/athome/security/email/phishing.mspx
"Ciò che occorre sapere sul phishing".

Che cos'è il phishing?

Il phishing è un tipo di frode ideato allo scopo di rubare l'identità di un utente. Quando viene attuato, una persona malintenzionata cerca di appropriarsi di informazioni quali numeri di carta di credito, password, informazioni relative ad account o altre informazioni personali convincendo l'utente a fornirgliele con falsi pretesti. Il phishing viene generalmente attuato tramite posta indesiderata o finestre a comparsa.

Come funziona il phishing?

Il phishing viene messo in atto da un utente malintenzionato che invia milioni di false e-mail che sembrano provenire da siti Web noti o fidati come il sito della propria banca o della società di emissione della carta di credito. I messaggi di posta elettronica e i siti Web in cui l'utente viene spesso indirizzato per loro tramite sembrano sufficientemente ufficiali da trarre in inganno molte persone sulla loro autenticità. Ritenendo queste e-mail attendibili, gli utenti troppo spesso rispondono ingenuamente a richieste di numeri di carta di credito, password, informazioni su account ed altre informazioni personali.

Per far sembrare tali messaggi di posta elettronica ancora più veritieri, un esperto di contraffazione potrebbe inserirvi un collegamento che apparentemente consente di accedere ad un sito Web autentico, ma che di fatto conduce ad un sito contraffatto o persino una finestra a comparsa dall'aspetto identico al rispettivo sito ufficiale. Queste imitazioni sono spesso chiamate siti Web "spoofed". Una volta all'interno di uno di questi siti falsificati, è possibile immettere involontariamente informazioni ancora più personali che verranno poi trasmesse direttamente all'autore del sito che le utilizzerà per acquistare prodotti, richiedere una nuova carta di credito o sottrarre l'identità dell'utente.

Cinque passaggi per evitare le frodi del phishing

Non rispondere mai a richieste di informazioni personali ricevute tramite posta elettronica.

Visitare i siti Web digitandone il rispettivo URL nella barra degli indirizzi.

Verificare che il sito Web utilizzi la crittografia.

Esaminare regolarmente i rendiconti bancari e della carta di credito.

Denunciare sospetti usi illeciti alle autorità competenti.


http://www.poliziadistato.it/pds/primapagina/cartedicredito/truffa_mail.htm
"Phishing: un'e-mail per rubare i vostri dati di home banking".
www.microsoft.com/windows/ie/community/columns/saferbrowsing.mspx
"(November 8, 2004) Help Protect Yourself from Online Crime".
Sandi Hardmeier (MVP) describes a type of online fraud called "phishing" and gives tips on how to help protect yourself from their harmful effects.

 

 

Consigli sulla sicurezza: come evitare di rimanere di nuovo infettati

Importante!

http://www.microsoft.com/italy/athome/security/online/logoff_admin_account.mspx

“Scopri come l'account utente appropriato può aumentare la sicurezza del computer”

Sai se stai utilizzando un account utente con limitazioni o un account di amministratore?

Nel primo caso, un attacco con software dannoso riesce a causare solo piccole modifiche che, generalmente, non hanno effetti importanti. Se l'attacco si verifica invece mentre si utilizza un account di amministratore, l'utente malintenzionato potrebbe ottenere un accesso completo al computer, con effetti che potrebbero essere solo irritanti ma anche catastrofici. Sapere quale tipo di account utilizzare al momento giusto è un ottimo sistema per proteggere il computer; inoltre, la configurazione di un account non è così difficile come potrebbe sembrare.

• Sito Microsoft Technet Sicurezza:

http://www.microsoft.com/italy/technet/security/default.mspx

• Sito Microsoft Sicurezza:

http://www.microsoft.com/italy/security/default.mspx

• 7 passi per aumentare la sicurezza

Segui questi 7 passi per contribuire a proteggere la tua sicurezza. Usa questa lista di controllo per fare una pianificazione e prendere decisioni che proteggeranno il tuo computer e la tua privacy personale: http://www.microsoft.com/italy/security/articles/steps_default.mspx

 

• Proteggere il PC in tre passaggi:

http://www.microsoft.com/italy/athome/security/default.mspx

Nozioni di base su protezione, sicurezza e privacy in Internet Explorer 6

http://www.microsoft.com/windows/ie_intl/it/using/howto/privacy/secprivessntl.mspx

“Nozioni di base su protezione e privacy in Internet Explorer 6”

http://www.microsoft.com/technet/prodtechnol/ie/reskit/6/appendix.mspx

“Appendix: Windows XP Service Pack 2 Enhancements to Internet Explorer 6“

http://www.microsoft.com/windows/ie_intl/it/using/howto/security/settings.mspx

“Utilizzo delle impostazioni di protezione di Internet Explorer 6”

http://support.microsoft.com/?id=174360
"Utilizzo delle aree di protezione in Internet Explorer".
http://support.microsoft.com/kb/815141/it
"Diversa esplorazione con il browser in seguito all'impostazione della protezione avanzata di Internet Explorer".
http://support.microsoft.com/?id=833633
"Rafforzamento delle impostazioni di protezione per l'area Computer locale in Internet Explorer".
http://go.microsoft.com/fwlink/?linkid=12658
"About URL Security Zones Templates".
http://support.microsoft.com/kb/300443/it
"Descrizione delle modifiche alle impostazioni di protezione per le aree di contenuto Web di Internet Explorer 6".
http://support.microsoft.com/kb/182569/it
"Descrizione delle voci di registro per le aree di protezione di Internet Explorer".
http://support.microsoft.com/kb/154036/it
"Come disattivare il contenuto attivo in Internet Explorer".
http://support.microsoft.com/kb/154544/IT/
"Descrizione delle tecnologie ActiveX".


IEBlog - the Microsoft Internet Explorer Weblog
http://blogs.msdn.com/ie/archive/2005/01/26/361228.aspx
"IE Security Zones ".

http://blogs.msdn.com/ie/archive/2004/08/10/212008.aspx
"IE in Windows XP SP2 ".

Courtesy of MVP Ramesh:
http://windowsxp.mvps.org/ie/flags.htm
""Sites" button and "Custom Level" slider are grayed out in Internet Options - Security tab?"

http://windowsxp.mvps.org/ie/secchangesettings.htm
"Custom Level and Default Level buttons in Internet Options Security tab are grayed out".

 

Microsoft Windows Update (Aggiorna regolarmente il computer!):

http://windowsupdate.microsoft.com/

 

http://www.windowsonecare.com/prodinfo/Default.aspx

http://beta.windowsonecare.com/

“Windows OneCare Live”

Windows OneCare is a comprehensive PC health service that goes beyond security to take an integrated approach to help protect and care for your computer.

The things you should have to help protect your PC, but probably don't because they're such a hassle—stuff like virus scanning, firewall settings, tune-ups, and file backups—all delivered to you in a friendly, easy-to-use package that runs quietly in the background.

I miei consigli:

Aggiorniamo il sistema con le ultime patch sulla sicurezza rilasciate da Microsoft e dai Produttori delle applicazioni che utilizziamo, installiamo un buon antivirus (da aggiornare regolarmente!) Qui un punto di partenza: http://www.microsoft.com/security/partners/antivirus.asp
“Microsoft Antivirus Partners“.
Utilizziamo un firewall, verifichiamo attentamente quali programmi "scarichiamo" ed installiamo nel nostro computer e su quale allegato di posta elettronica facciamo “clic”.Siamo noi i primi "guardiani" e tutori della nostra sicurezza! ;-) .

Il mio Blog – Aggiornamenti on-line!

http://blogs.dotnethell.it/vincent/

Da Giugno dello scorso 2005 David De Giacomi (MVP – Windows – Shell/User) ospita il mio Blog.

Aggiornato quotidianamente, è il luogo dove puoi trovare informazioni di “prima mano”, on-line, sugli attacchi spy/malware dell’ultim’ora, su nuovi virus/worm e relativi strumenti di rimozione, Tips & tricks su Internet Explorer, Windows, la sicurezza e… altro.

Grazie David! ;-)

Se non hai ancora trovato una soluzione o hai semplicemente necessità di una mano … chiedi aiuto agli MVP (Most Valuable Professionals) e agli utilizzatori dei prodotti Microsoft per risolvere i tuoi problemi nei Newsgroup Italiani Microsoft!

<<

Copyright (c) 2000 - 3000 by Ing. Eduardo Palena - Napolifirewall.com