Classifica Dei Falsi Antivirus Più Pericolosi

[Carlo]

Continuano senza tregua i Falsi Antivirus, ultimamente su computer di amici e colleghi stanno facendo una strage, i fake con la scusa di controllarti il sistema, si radicano nel PC rendendo il sistema instabile, tutti i software di controllo è scansione cessano di funzionare perchè ritenuti infetti.

QUI trovate una classifica dei più comuni relativa al solo primo trimestre 2010, ma c'è ne sono di più recenti, gli ultimi da me ritrovati non figurano in questa classifica.Diventa sempre più difficile, reperire informazioni sulla rete a causa dei loro nomi, gli autori furbamente danno dei nomi molto comuni che confondono i poco esperti, l'ultimo da me ritrovato è stato Home Antivirus 2010.

Le guide trovate in rete purtroppo non sempre sono efficaci, questo perchè questi virus si comportano in maniera diversa su ogni PC, non sempre i file infetti hanno lo stesso nome e risiedono nello stesso percorso,meglio una pulizia manuale per stroncare il suo effetto e poi quando cominciano a rifunzionare HijackThis,Malwarebytes e ComboFix il gioco è fatto.

Guardate l'interfaccia che solitamete si assomigliano,le loro gui sono belle a vedersi,a guardarli sembrano essere devi veri programmi antivirus,non si fanno mancare opzioni e tools,effettuano scansioni che sembrano reali,mentre i virus ritrovati non sono altro che quelli inniettati da loro.

[Carlo]

Ecco un'altro falso Antivirus fresco fresco, appena ripulito si chiama  Security Suite QUI trovate la procedura per la pulizia, ma valgono sempre le regole sopra citate.

[Carlo]

Eccolo il nuovo della serie che mi è capitato fra le mani, un'interfaccia che potrebbe ingannare chiunque, si chiama Windows Power Expansion, basta digitare il suo nome su Google per vedere quanti tutorial per la sua rimozione ci sono, che quasi sempre non funzionano, perchè muta comportamento e nome file su ogni sistema che infetta.Come al solito strozza il sistema e se ne impossessa, tutti i programmi antivirus cessano di funzionare, disabilita qualsiasi programma di controllo lanciato dopo qualche secondo, in modo da non farlo lavorare.Questa volta pre fregarlo è stato un gioco da ragazzi, è bastato ripristinare il solo registro di windows, che solitamente backuppo su tutti i PC, e che basta un piccolo eseguibile proprietario per ripristinare cervello e cuore del PC, poi è un gioco da ragazzi ripulirlo perchè disarmato.

[Carlo]

Eccolo qua uno dei nuovi finti antivirus del 2011, che gironzolano per la rete, solita gui ben fatta, oltre alla bella grafica anche il nome apparentemente ingannevole, somigliante ad un vero software di protezione.I sintomi sempre gli stessi, disarma tutte le difese del PC e diventa padrone incontrastato di tutto il sistema.Inutile dire che le cure che trovi sulla rete, non sono praticabili in quanto il virus si comporta sempre in maniera diversa e crea files con nomi diversi su ogni PC che infetta.Per la disinfettazione ho usato la tecnica più elementare, che solitamente funziona sempre, prativamente sono andato nella system32 ed ho spostato sul desktop due degli eseguibile portanti, fatto questo dopo il riavvio, l'amico friz ha perso il controllo del bloccaggio lancio eseguibili, permettendomi l'installazione di Malwarebyte, che in una sola passata mi ha ripulito il resto dell'infezione.RintracciaRe il file è stato facile, perchè conoscendo la data dell'infezione, ho spostato i files sospetti che avevano proprio quella data, tecnica che solo gli smanettoni Amighisti possono aver coltivato.


XP Internet Security 2011




Varianti stessa Gui




XP Total Security 2011



XP Win 7 Security 2011

[Carlo]

Arrivato il più rognoso dei falsi Antivirus, si chiama Analyzing PC Performance & Stability, questa volta il nostro ospite è più forte dei suoi predecessori, oltre alle solite problematiche dei suoi simili, questo usa una tecnica ancora più devastante, praticamente una volta avviato il desktop troverete piazza pulita di icone e files, in pratica in Explora Risorse il nulla, nessun file nessuna directory.Far ricomparire files e directory, non è un problema, basta scoprire file nascosti e di sistema da opzione cartella o meglio usare Unhide, ma attenzione il percorso ove si trovano i file, non è più C:\, ma una unità virtuale, l'infezione ha dato il flag di file nascosto a tutti i files del PC.Questa volta bisogna lavorare duro per rimettere in sesto il PC, far lavorare MalwareBytes e sopratutto aggiornarlo è un problema, a questo proposito tenere Malwarebytes aggiornato e un backup del registro, fatto con ERUNT è fondamentale, per far funzionare Malwarebytes, killare il finto antivirus con RKill, lanciare il Task Manager e terminare i suoi due processi, le due voci sono facili da individuare, come detto sopra, uno ha un nome numerico e l'altro ne ha uno senza senso.L'infezione ha manomesso e creato numerose chiavi nel registro, occorre andare nel registro e tentare di rimuoverle, anche dopo la ripulita dell'infezione, può capitare che se si fa uno scandisk approfondito con opzione ripara filesystem, di corrompere definitivamente tutto il sistema (per chi si ritrova il volume virtuale).Allego due tutorial che spiegano i passaggi per la rimozione di questo finto antivirus, ma vero Rompi Pampasciuni



Fake Analyzing PC Performance & Stability Report Description

Analyzing PC Performance & Stability Report

PC Performance & stability analysis report Description







Occhio, che anche questa infezione, la si può ritrovare con nomi differenti
questo è l'ultimo capitatomi su un PC PC WinVista 64bit.

[alfox]

ciao ragazzi
vi scrivo poichè ho proprio avuto l'ultimo virus indicato ed ho fatto diverse cose ma senza risolvere nulla
Il pc è un portatile con Win Vista


Allora
ho disattivato il ripristino
ho lanciato ATF

ho eseguito Malwarebytes' Anti-Malware Free e mi ha trovato 6 file infetti (4 dei quali subito eliminati, gli altri due con l'aiuto di Avira)

poi ho lanciato Emsisoft Anti-Malware 5.0 e non mi ha trovato nulla

poi ho controllato con hijackthis, ma vedendo il log sul sito, a parte un file con il "?", non mi ha indicato nulla

ho eseguito Dr.Web CureIt! ma non ho trovato nulla

ho lanciato questo rkill Download e poi anche TDSSKiller .

ho eliminato alcune voci di registro come indicato qui http://www.bleepingcomputer.com/viru...ws-xp-recovery

Poi ho fatto per il Menu Start

Tasto DX del mouse sul pulsante Start - Menu Start - Proprietà - Personalizza - Usa impostazioni predefinite - OK

per il Desktop

Start- Panello di controllo - Aspetto e personalizzazione - Cambia lo sfondo del Desktop

e lo sfondo l'ho rimesso, ma le icone sul desktop comparse sono più poche di prima e trasparenti


ho lanciato Unhide, e quelle icone sono diventate visibili come prima, ma cmq non c'è per esempio ril cestino (risorse del computer o una cosa simile per Win Vista)


cmq mi sono reso conto che sono stati cambiati i permessi , tanto che alcne cartelle del disco fisso non sono accessibili e credo  
che è per questo che non riesco a visualizzare tutto


quindi l'idea del disco di ripristino mi sembra la più sensata al momento

[Carlo]

ho lanciato questo rkill Download e poi anche TDSSKiller .
ho eliminato alcune voci di registro come indicato qui http://www.bleepingcomputer.com/viru...ws-xp-recovery
Poi ho fatto per il Menu Start

RKill serve a killare i processi malevoli, facilitando il lancio di Malwarebytes, altrimenti bloccato, Unhide giustamente serve a scoprire i file nascosti.

Start- Panello di controllo - Aspetto e personalizzazione - Cambia lo sfondo del Desktop
e lo sfondo l'ho rimesso, ma le icone sul desktop comparse sono più poche di prima e trasparenti
ho lanciato Unhide, e quelle icone sono diventate visibili come prima, ma cmq non c'è per esempio ril cestino (risorse del computer o una cosa simile per Win Vista)

Per far comparire le icone del Cestino, Computer, Rete, Utente e Pannello di controllo devi fare:

- Tasto destro Mouse sullo schermo
- Proprietà
- Cambia icone sul Desktop
- Mettere le spunte sulle icone che vuoi far comparire

cmq mi sono reso conto che sono stati cambiati i permessi, tanto che alcune cartelle del disco fisso non sono accessibili e credo che è per questo che non riesco a visualizzare tutto
quindi l'idea del disco di ripristino mi sembra la più sensata al momento

Non mi risulta che cambino i permessi per accedere alla cartella, mi puoi elencare di quale cartelle si tratta ?
Comunque per accedere ad una cartella protetta, basta diventarne proprietario, questa è la procedura, devi farlo da utente admin disabilitando UAC.

- Protezione
- Aggiungi
- Avanzate
- Trova
- Clicca su Administrators
- Ok
- Dai tutti i consensi
- Ok
- Ok

Oppure più velocemente per tutti gli utenti

- Protezione
- Avanzate
- Modifica
- Togli spunta su Includi autorizzazioni ereditabili del padre dell'oggetto
- Ok
- Ok

- Protezione
- Avanzate
- Modifica
- Aggiungi
- Metti la spunta su Includi autorizzazioni ereditabili del padre dell'oggetto
- Ok
- Ok

Per disabilitare UAC

- Pannello di controllo
- Accaunt
- Attiva o disattiva Controllo account utente
- Togli la spunta su ... Per proteggere il computer, utilizzare il controllo dell'account utente

Se le cartelle non si nascondono più, vuol dire che hai eliminato l'infezione, se invece si nascondono nuovamente, significa che gli eseguibili citati sopra in :\ProgramData non li hai cancellati.

[alfox]

Ciao CArlo grazie del tuo intervento

Per Rkill, senza saperlo ho fatto questo: ho lanciato Malwarebytes (trovandomi i file infetti), poi in un secondo momento   ho lanciato Rkill, per poi rilanciare per la seconda volta Malwarebytes che non mi ha trovato nulla.

Per i permessi ce ne sono diversi, che non funzionavano: esempio ance la cartella Documents & Settings non riuscivo ad entrare poi col modificare i permessi come hai detto tu, sono riuscito ad entrarci, poi ci solo altre cartelle che ora non ricordo che sono riuscito ad abilitare ed altre invece che sono inaccessibili.

Non so cosa sia UAC, però io accedo mettendo all'avvio una password


Cmq non so se c'entra qualcosa, ma credo proprio di si, per avviare firefox ci vuole un'eternità. Anche se però una volta avviato  funziona bene.
Altra cosa poi quando premo il tasto in basso di avvio , sopra al tasto "tutti i programmi" non compaiono i programmi più utilizzati


Fra un pò riaccendo il pc "infetto", e modificherò questo messaggio per dirti quali cartelle sono bloccate.



EDIT:

Allora le cartelle che sono strane sono :
entri in C:\ e trovo:

- Documents & Settings che sembra una cartella trasparente col simboletto in basso a sx dell'icona di una freccia (come se fosse un collegamento), altra cosa che la rende strana è che se vai in proprietà non compare la destinazione della cartella


-Ho due cartelle Programmi, una come è dovere di essere e che funzia correttamente e l'altra simile a quella di document & settings (come se fosse un collegamento) a cui però non posso acceedere, nemmeno tentando di cambiare i permessi come  hai indicato tu

Entrando poi in Documents & settings, trovo che All Users e Default Users, sono come la Documents&Settings, cioè come se fossero collegamenti, ma la cosa strana è che la All Users se si fa tasto destro e proprietà si vede: Percorso C:\ , mentre invece Destinazione C:\ProgramData.

Allora vado in ProgramData e vedo che una serie di cartelle sono tutte come la Documents&setting : Application Data, Dati Applicazioni, Documenti ,Documents, Desktop, menù avvio, Start menù, Templates, preferiti. Tutte cartelle a cui non posso accedere. Faccio la  procedura che mi hai detto, per i permessi e riesco ad entrare ma poi mi ritrovo con tutte le cartelle contenute in essa come la documents &settings e a cui non posso accedere (il solito accesso negato)

[Carlo]

Non so cosa sia UAC, però io accedo mettendo all'avvio una password

UAC: User Account Control (Controllo Account Utente) è un modulo di protezione introdotto da Microsoft in Windows Vista, e Win7 che gestisce i permessi dei singoli utenti del computer in modo da impedire l'esecuzione di software dannoso o il danneggiamento di dati o componenti del sistema.In pratica è quella finestrella che esce quando si tenta di installare qualcosa sul computer, sopra avevo spiegato come togliere questo fastidioso request, ma di vitale importanza.

Cmq non so se c'entra qualcosa, ma credo proprio di si, per avviare firefox ci vuole un'eternità. Anche se però una volta avviato  funziona bene.

Se è solo Firefox, prova a ripulire la sua Cache, vai in Opzioni-Privacy e imposta "Non salvare cronologia", in questo modo sarà fatta pulizia ad ogni uscita dal Browser, se invece tutto il sistema è lento, dovresti dare una ripulita a tutto il sistema più in generale, eventualmente ti allego tutti i passaggi per snellire al massimo il sistema.

Altra cosa poi quando premo il tasto in basso di avvio , sopra al tasto "tutti i programmi" non compaiono i programmi più utilizzati

Qui dovresti andare nelle cartelle che compongono quei menù e fare la solita procedura per togliere il flag di "Nascosto"

Allora le cartelle che sono strane sono :
entri in C:\ e trovo:
- Documents & Settings che sembra una cartella trasparente col simboletto in basso a sx dell'icona di una freccia (come se fosse un collegamento), altra cosa che la rende strana è che se vai in proprietà non compare la destinazione della cartella

Qui è normale, nessuno potrà mai entrarci, perchè non sono delle directory,ma delle finte cartelle,servono solo per la  Retrocompatibilità, Documents & Settings su WinXP conteneva i dati Utenti, in Vista e Win7 questi dati sono esterni.

-Ho due cartelle Programmi, una come è dovere di essere e che funzia correttamente e l'altra simile a quella di document & settings (come se fosse un collegamento) a cui però non posso acceedere, nemmeno tentando di cambiare i permessi come  hai indicato tu

Idem con patate, anche le due cartelle Programmi sono finte, si tratta di semplici collegamenti alla reale cartella programmi di nome Program File, una sorta di traduzione lampo, infatti se apri il Prompt dei comandi, ti posizioni in quel percorso e digiti il vecchio comando DIR, non troverai nessuna cartella chiamata programmi, ma vedrai invece Program File, QUI trovi un mio topic che parla dell'argomento.

Allora vado in ProgramData e vedo che una serie di cartelle sono tutte come la Documents&setting : Application Data, Dati Applicazioni, Documenti ,Documents, Desktop, menù avvio, Start menù, Templates, preferiti. Tutte cartelle a cui non posso accedere. Faccio la  procedura che mi hai detto, per i permessi e riesco ad entrare ma poi mi ritrovo con tutte le cartelle contenute in essa come la documents &settings e a cui non posso accedere (il solito accesso negato)

Vedi sopra

[alfox]

ok, grazie mille mi hai rincuorato
se però mi dici cosa posso fare per snellire un pò le cose, forse è meglio.
Stavo pensando di fare una pulizia con ccleaner, però poi dimmi tu

[Carlo]

ok, grazie mille mi hai rincuorato
se però mi dici cosa posso fare per snellire un pò le cose, forse è meglio.
Stavo pensando di fare una pulizia con ccleaner, però poi dimmi tu

Queste le regole e i passaggi per alleggerire al massimo un sistema.

- Creazione nuovo utente e spostare su questo i dati sensibili (dopo un'infezione o una corruzione dati utente)
- Disattivare gli aggiornamenti di Windows, quando occorrono installare manualmente solo quelli realmente necessari.
- Disattivare il ripristino di sistema (al suo posto usare ERUNT) per farsi un Backup del solo cuore e cervello del PC (registro completo)
- Pulizia File TMP e registro con CCleaner, impostare nelle prefs la pulizia automatica ad ogni avvio sistema
- Fixare con HijackThis tutte le chiavi inutili,Toolbar,Aggiornamenti programmi,Applicazioni inutili che si avviano in automatico, insomma piallare tutto esclusi i programmi della sicurezza, cancellare tutto non crea alcun problema all'avvio del sistema, anzi lo velocizza.Le chiavi cancellate interessano solo l'utente in uso, creando un nuovo utente, bisogna rifare la rasatura, HijackThis comunque permette il ripristino del tagliato.
- Non installare programmi doppioni o non necessari
- Uno Scandisk con opzione ripara filesystem, questa operazione va fatta sempre, ogni volta che il PC si spegne accidentalmente per mancanza alimentazione o spento bruscamente, lo Scandisk va fatto a tutti i volumi dell'hardisk
- Una bella deframmentazione per far lavorare meglio l'hardisk e renderlo più veloce in lettura e scrittura.

[alfox]

ciao
ti posto il log di Hijackthis http://wikisend.com/download/373312/hijackthisamministrato.log
cmq ho fatto la cancellazione della cache e la deframmentazione, ma è sempre lento firefox ad avviarsi.....ora che ci penso proverò a disinstallarlo e reinstallarlo

[Carlo]

ciao
ti posto il log di Hijackthis http://wikisend.com/download/373312/hijackthisamministrato.log
cmq ho fatto la cancellazione della cache e la deframmentazione, ma è sempre lento firefox ad avviarsi.....ora che ci penso proverò a disinstallarlo e reinstallarlo

Ne hai di zavorra in esecuzione, farei dei Fix a quasi tutti i HKLM\..\Run:, lascerei solo quelli che realmente ti servono, gli altri li lanci da Start Programmi quando realmente ti servono.

Altre voci da eliminare tutta la serie:

- HKCU\Software\Microsoft\Internet Explorer\Main,Search Page
- BHO:
- Toolbar:
- Extra context
- Extra 'Tools
- Extra button

Nella Running processes, inizio script, hai tanti eseguibili lanciati che sicuramente rallentano e non di poco il sistema, non credo siano importanti per l'avvio del sistema, se non usi quelle applicazioni fixale tutte, conservati la cartella di backup di HijackThis, eventualmente li ripristini, in ogni caso se crei un nuovo utente, ti ritroverai quasi tutte le chiavi. Riguardo Mozilla Firefox, oltre alla disinstallazione, elimina anche le sue cartelle di preferenze che trovi nelle cartelle nascoste dell'utente (appdata), in Vista dovrebbero trovarsi in questo percorso:

:\users\NOMEUTENTE\appdata\roaming\Mozilla\Firefox
:\users\jNOMEUTENTE\appdata\local\Mozilla\Firefox

[Carlo]

Siamo alle solite, un nuovo Malware, che si sta diffondendo a macchia d'olio dall'inzio dell'autunno, si chiama Trojan.MBRLock, dal nome si evince che questo parassita non attacca i dati, ma il settore d'avvio del disco rigido, ovvero il settore zero dell'Hardisk, in questo modo si impossessa del sistema e non permette l'avvio. In questo caso specifico, appena avviato il sistema, compare uno strano messaggio che, spacciandosi per Microsoft, avverte che la licenza d'uso del sistema operativo è scaduta ed è necessario acquistare (a caro prezzo) un nuovo codice di attivazione chiamando un numero italiano a pagamento, iniziante con il famigerato prefisso 899.Non mi è capitato ancora un PC con questo tipo d' infezione, sicuramente non tarderà, visto che sono il custode "gratuito" di tanti amici e colleghi, il contenuto del malevole messaggio dovrevrebbe essere questo:

"Attention! Windows activation period is exceeded.
This windows copy is illegal and not registered properly. The further work is not possible. For activating this copy of windows you must enter registration code.
This code you can find in your windows distribution package. If you not find them you can receive it by the phone: 899 *** ***.
Registration code must be entered not later then three days, if it entered later the unlocking is not possible"





Se vi dovesse capitare questo tipo di infezione, e il sistema si avvia anche con l'aiuto della modalità provvisoria, staccate il PC da Internet, dopo aver aggiornato Malwarebytes e fate una bella scansione, consiglio anche l'uso di Combofix.Se non riuscite a far partire il sistema, pare che che il trojan è programmato per capire la provenienza geografica del PC infetto, al fine di mostrare numeri di telefono differenti e specifici (gli utenti maggiormente presi di mira sono quelli italiani, austriaci, svizzeri e belgi). Fortunatamente il codice di sblocco richiesto da MBRLock non è complesso. Il meccanismo di verifica usato dal trojan, infatti, controlla solo la lunghezza del codice inserito: inserendo un qualsiasi codice di 14 cifre (ad esempio "12345678901234") il trojan lo accetta, si auto-rimuove e consente il normale avvio del sistema operativo. Tuttavia, l'unico vero modo effettivo di contrastare tali infezioni è quello di effettuare costantemente backup dei propri dati, perché la prossima volta potremmo non essere così fortunati e il trojan potrebbe essere molto più "duro a morire"!

In tutti i casi l'unico consiglio valido è quello di spegnere immediatamente il PC staccando la spina della corrente o premendo manualmente il tasto di spegnimento del computer. Questa procedura, solitamente sconsigliata perché rischia di danneggiare il sistema, in caso di infezioni potrebbe risultare molto efficace perché interrompe il lavoro di analisi del disco fisso da parte del trojan alla ricerca dei dati da crittografare, aggiungo che lo spegnimento brusco non permette il salvataggio del sistema, in questo modo ripartirà con l'ultima partenza nota e funzionante.Fatto questo, possiamo provare ad effettuare una scansione del PC tramite un Live CD Antivirus, come ad esempio il Kaspersky Rescue Disk, scaricabile gratuitamente questa pagina Web.

[Carlo]

Ecco che tornano, nuova fuffa, solito finto Antivirus, dal colore rosa e questa volta anche in lingua Italiana, solito anche nel nome, che tenta di ingannare i meno esperti con nomi simili ai veri Antivirus, si chiama AVASoft Professional Anivirus. Il finto Antivirus blocca ogni applicazione, spacciandoli tutti per infetti, perfino il Paint bloccato. Per la pulizia basta andare in modolità provvisoria e fare uno Spic & Span con MalwareByte ben aggiornato. Allego una grabbata trovata in rete, nel PC capitatomi non sono riuscito ad immortararlo, va be sarà per la prossima volta, al momento allego grabbata in Inglese trovata in rete.