come funziona un virus

[chilli]

Salve a tutti,

vorrei sapere una cosa, ammesso che possiate rispondermi, avrei momentaneamente bisogno di usare un file infetto...
Ho pensato quanto segue: faccio una backup dei files di sistema con ERUNT quando il pc è pulito, poi uso il file infetto, indi cancello il file infetto e ripristino il sistema allo stato precedente... potrebbe funzionare?

ciao e grazie !

andrea

[Frate Aurelio]

@Andrea
Ciao.

- faccio una backup dei files quando il pc è pulito,
- uso il file infetto,
- indi cancello il file infetto
- ripristino il sistema allo stato precedente
andrea

Sempre se il Virus non ti abbia distrutto il PC.

Frate Aurelio


PS Mi sento in colpa per non averti chiesto del perchè di questo ambaradan.
http://it.wikipedia.org/wiki/Ambaradan

[-> EleKtrA <-]

Ciao chilli, benvenuto/a
puoi fare tutte le prove che vuoi, semplicemente virtualizzando il sistema, o creando una macchina virtuale.
http://www.megalab.it/2815/returnil-virtual-system
http://it.wikipedia.org/wiki/VirtualBox
http://www.faqwindows.com/public/post/g ... bo-259.asp
http://www.b2b24.ilsole24ore.com/pcopen ... =10019;CHL

[chilli]

Ciao !

grazie per le info, in effetti la storia dell'ambiente virtuale è interessante,
in pratica ci sono un pò di file che mi danno come risultato su Virus Total
da 2/40 a 6/40... e io non so capire se vale la pena provare oppure è meglio
lasciar perdere.
Un virus, tipo Trojan o altri, può lavorare in silenzio senza che io me ne accorga ?
ve lo chiedo perché dopo aver passato il pc con diversi antivirus ho scoperto un paio
di file sospetti che erano presenti da almeno 2 anni... e io non mi sono accorto
di nulla


ciao

andrea

[-> EleKtrA <-]

Ah...allora c'è una cosa più semplice che potresti fare,
riporta i nomi e le directory dei file sospetti ed esegui un controllo di sistema.

Disattiva momentaneamente l'antivirus
Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Se usi Vista: Tasto destro, esegui come amministratore
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

Esegui una scansione online con Kaspersky e se trova qualcosa allega il report
http://www.kaspersky.com/kos/eng/partne ... bscan.html

Nota: Se usi Kaspersky come antivirus esegui una scansione online su uno di questi siti
http://www.bitdefender.com/scanner/onli ... n8/ie.html
http://www.eset.com/onlinescan/

[Frate Aurelio]

@chilli
Mi sembrava molto pù semplice che tu riportassi i nomi dei file ritenuti infetti.
Di norma una infezione virale ha una sintomatologia ben precisa che tu non ci hai ancora descritta e che anzi non te ne sei accorto per due anni.
Tanto meno hai postato un report di Hijackthis per analizzare ciò che avviene nel cuore del tuo PC.
La segnalazione virale ti sarà pur stata evidenziata da un antivirus, che non ci hai comunicato quale esso sia.
Suggerire l'uso di Combofix così al buio, con tutte le sue contro-indicazioni, mi sembra innoportuno se non esagerato.
Concedetemi una anologia, un buon medico prescrive una medicina solo quando ha elementi in suo possesso che la giustifichi.

Frate Aurelio

[Frate Aurelio]

Perdonatemi il refuso
innoportuno = inopportuno

Freate Aurelio

[-> EleKtrA <-]

@Frate aurelio
Hai mai sentito parlare di rootkit?
http://it.wikipedia.org/wiki/Rootkit

Una scansione con combofix non è nulla di esagerato, serve ad avere un quadro generale del sistema, se poi nel rapporto verrà evidenziato qualcosa, si potra procedere di conseguenza.
Visto che chilli ha dei dubbi, molto meglio un rapporto di combofix che quello di hijackthis, perchè più completo.

Ps. Il medico può anche prescrivere una profilassi

[Frate Aurelio]

Disattiva momentaneamente l'antivirus
Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

@chilli,
Diffida di chi ti suggerisce di andare in rete ed eseguire download senza la protezione attiva di antivirus.

@Frate aurelio
Hai mai sentito parlare di rootkit?
http://it.wikipedia.org/wiki/Rootkit

@-> EleKtrA <- »,
Non scherzare, il mio primo PC era un z80

@chilli
Per rilevare rootkit usa
http://www.sophos.it/products/free-tool ... otkit.html
http://www.gmer.net/

E con questo ho chiuso

Frate Aurelio

[-> EleKtrA <-]

Eh si, io scherzo, vedo che invece tu te la prendi e vai sul personale.

Solo una puntualizzazione:
hai consigliato due programmi per rilevare la presenza di rootkit, io non ho mai detto che il pc in questione ne abbia,
inoltre (come saprai) combofix possiede il modulo catchme di Gmer, che serve appunto ad identificare rootkit nascosti.

Se pensi di avere la conoscenza suprema perchè il tuo pc era un z80, abbi almeno il buon senso di non fare illazioni.

@chilli,
Diffida di chi ti suggerisce di andare in rete ed eseguire download senza la protezione attiva di antivirus.

Combofix viene rilevato come potenzialmente pericoloso da alcuni programmi di sicurezza, a causa del componente antirootkit, ecco perchè si consiglia di disattivare le protezioni, si tratta ovviamente di un falso positivo.

Mi scuso con gli utenti che leggeranno questa discussione, non è nelle mie intenzioni provocare flame.

[chilli]

Vi ringrazio per i suggerimenti non ho avuto tempo di rispondere fino ad ora...

diciamo che per un certo file, a-squared mi dà:
Trojan.Win32.Inject!IK
Backdoor.Win32.G_Door!IK

adesso tale file lo ho eliminato e il pc controllato con karspersky, Mbam, Panda, Gmer, A-squared, Antivir, Prevx
sembra completamente pulito... e il programma in questione gira...
mi chiedo se ci possono essere infezioni nascoste. Tanto più che volevo formattare tutto e quindi vorrei
capire se alla prossima configurazione posso rifare nello stesso modo o è meglio che ci rinunci.

[-> EleKtrA <-]

Ciao chilli, non ricordi il nome del file che hai cancellato?
a-squared è famoso per i suoi falsi positivi, quindi è probabile che tu abbia eliminato un file legittimo, ma non essenziale per il funzionamento del programma di cui faceva parte.

Perchè vorresti formattare? Che problemi hai al pc?

[chilli]

... grazie ancora per le info, farò un pò di pulizia e poi un chek-up totale
e vi farò sapere !

ciao!