Repository 32bit  Forum
Repository 64bit  Wiki

Sistema live con antivirus.

Area di discussione libera.

Moderatore: Staff

Regole del forum
1) Rispettare le idee altrui.
2) Evitare le offese dirette.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Sistema live con antivirus.

Messaggioda joe » mar gen 22, 2013 20:23

A volte mi ècapitato di soccorrere PC di amici con windows, contagiati da virus di vario tipo. Mi sono sempre arragniato un po' a tentoni appoggiandomi soprattutto alla modalità provvisoria.
Fermo restando che molto spesso basta una ricerca in rete per affrontare con una certa disinvoltura le operazioni da svolgere per eliminare un determinato virus, a volte mi sono trovato su due piedi magari per mancanza di ulteriori dettagli e poco tempo, davanti al PC di turno.

Pensavo che il tutto sarebbe piùefficente se disponessi di un CD o una chiavetta USB avviabile in grado di far girare un SO live sicuramente funzionante per riparare il SO infetto o malconcio.

Vedo in rete che ve ne sono diversi.
Avreste qualche consiglio partendo da quelli free-GPL o il più possibile opensource?
Avatar utente
joe
Master
Master
 
Messaggi: 1997
Iscritto il: ven apr 27, 2007 10:21
Slackware: 14.0
Kernel: 3.2.29-smp
Desktop: KDE-4.8.5

Re: Sistema live con antivirus.

Messaggioda navajo » mar gen 22, 2013 21:19

ci sono tante vie
la più semplice è usare ad esempio Ubuntu 12.04 su chiavetta e installare clamav o un altro antivirus.
Io uso SystemREscuecd che è un coltellino svizzero niente male. Però mi hanno consigliato anche di provare
INSIDE_SECURITY (c è pure la pagina in inglese :) )
clamav credo che faccia il suo dovere abbastanza bene.
Questo se si vuole utilizzare linux, e opensource. Altrimenti ci sono anche altre iniziative anche con windows.
ciao

qui si scarica inside se vuoi provarla
Avatar utente
navajo
Staff
Staff
 
Messaggi: 3825
Iscritto il: gio gen 08, 2004 0:00
Località: Roma
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)

Re: Sistema live con antivirus.

Messaggioda pedro70 » mer gen 23, 2013 0:22

Io mi trovo bene con AVG, ma per esperienza a volte non basta un solo antivirus, secondo posto per Kaspersky e terzo per FSecure.
Uso una chiavetta usb con multiboot preparata con questo http://www.pendrivelinux.com/yumi-multiboot-usb-creator/ su cui non possono mancare systemrescuecd, clonezilla e se puoi anche l'installer di windows; a volte chkdsk è l'unico che riesce a sistemare un ntfs.
pedro70
Linux 1.0
Linux 1.0
 
Messaggi: 12
Iscritto il: mer ott 17, 2007 8:38
Località: Alessandria
Slackware: 14.0
Kernel: 3.2.29
Desktop: KDE-4.8.5

Re: Sistema live con antivirus.

Messaggioda navajo » mer gen 23, 2013 9:41

pedro70 ha scritto:Io mi trovo bene con AVG, ma per esperienza a volte non basta un solo antivirus, secondo posto per Kaspersky e terzo per FSecure.
Uso una chiavetta usb con multiboot preparata con questo http://www.pendrivelinux.com/yumi-multiboot-usb-creator/ su cui non possono mancare systemrescuecd, clonezilla e se puoi anche l'installer di windows; a volte chkdsk è l'unico che riesce a sistemare un ntfs.


mi mancava.. :)
grazie per la segnalazione
:)
Avatar utente
navajo
Staff
Staff
 
Messaggi: 3825
Iscritto il: gio gen 08, 2004 0:00
Località: Roma
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)

Re: Sistema live con antivirus.

Messaggioda scorpion77 » mer gen 23, 2013 23:00

Io ti consiglio Hiren's BootCD, ci sono un sacco di programmi, in più trovi una distro linux (Parted Magic) e mini Windows XP (se ti dovessero servire dei tool di Windows). Lo puoi scaricare qua: http://www.hirensbootcd.org/download/. Per rimuovere virus e malware in genere ti consiglio Malwarebytes Anti-Malware.

Scorpion77
Avatar utente
scorpion77
Linux 1.0
Linux 1.0
 
Messaggi: 92
Iscritto il: gio gen 20, 2005 0:00
Nome Cognome: Andrea
Slackware: Slackware64 14.1
Desktop: KDE 4.10.5

Re: Sistema live con antivirus.

Messaggioda 414N » gio gen 24, 2013 12:00

Sul fronte antivirus-only c'è anche il rescue CD di Avira, una ISO aggiornata tutti i giorni con le ultime definizioni (ma aggiornabile anche tramite internet una volta messo in esecuzione, sempre che una connessione sia presente).
Avatar utente
414N
Iper Master
Iper Master
 
Messaggi: 2882
Iscritto il: mer feb 13, 2008 16:19
Località: Bulagna
Slackware: 14.0 (x64)
Kernel: 3.2.29
Desktop: LXDE

Re: Sistema live con antivirus.

Messaggioda mbadici » ven gen 25, 2013 22:18

take a look at http://mihai.badici.ro/linux/bitslack/
It's a slackware 14.0 install image with bitdefender for linux who run only in RAM
I currently provide USB and PXE version.
(some messages are in romanian but I can change if you need)
I build it first for antivirus but I use it also as rescue boot.
mbadici
Linux 1.0
Linux 1.0
 
Messaggi: 1
Iscritto il: ven gen 25, 2013 22:04
Slackware: 14.0
Desktop: kde 4.9
Distribuzione: slackware

Re: Sistema live con antivirus.

Messaggioda joe » sab feb 09, 2013 11:38

Recentemente ho avuto a che fare con un PC infetto dal solito virus alla moda della guardia di finanza.
M'era già capitato su un'altro PC e avevo risolto avviando in modalità provvisoria con prompt dei comandi, da lì poi avevo usato combofix che aveva eliminato il problema facilmente.
Invece sull'ultimo PC infetto da questo virus ho riscontrato un malfunzionamento della modalità provvisoria. In pratica scegliendo di far partire il sistema in quella modalità ecco che il PC si riavvia e si riesce solamente ad avviare windows normalmente.
In questa situazione l'unica è tentare di avviare con un livecd dotato di antivirus.

Ora, il PC in questione è apparso particolarmente jellato, infatti ho provato con:
1- kaspersky rescue cd
2- avira rescue cd
3- avg rescue cd
4- antiviruslivecd

Il fatto è che nessuno dei CD in questione è riuscito ad avviarmi il PC.
Tra l'altro ho provato gli stessi live su un'altra macchina (sana) e tutti hanno funzionato senza problemi!
Alla fine avevo un vecchio CD di Clonezilla e con quello scegliendo la modalità filesafe mode sono riuscito ad avviare la macchina infetta.
Finalmente mi sono ritrovato davanti ad una shell da cui è stato possibile eliminare alcuni files presenti nella directory "Esecuzione Automatica". A quel punto riavviando windows il virus guardia di finanza non s'è attivato e ho potuto far girare l'antivirus Avira presente nel sistema che ha rilevato ed eliminato ben 15 file riconosciuti come minacce.

Da questa esperienza traggo una considerazione:
- perchè non fare una partizioncina dell'hd con linux?
- si imposta la connessione ad internet
- si installa un antivirus che gira su linux (avast o clamav per dirne due)

Vantaggi:
- quando l'utente poco esperto visita siti pericolosi e si becca un virus
- avvia linux invece di windows
- lancia l'antivirus che si aggiornerà il database delle minacce
- lancia la scansione sulla partizione di windows
- rimuove i virus

Altri vantaggi:
- non si cadrà in errori di compatibilità tra la macchina infetta e i vari antivirus livecd che fanno perdere un sacco di tempo
- non si avranno problemi con l'impostazione della connessione ad intenret richiesta da alcuini livecd per aggiornare il database delle minacce.
- in soldoni con una decina scarsa, ma anche meno a seconda della distribuzione usata, di GB di HD ci si risparmia parecchio tempo per la disinfezione del sistema.

Tra le varie live che ho provato mi ha comunque impressionato abbastanza questa:
http://antiviruslivecd.4mlinux.com/

- 16MB di roba (se la connessione ad internet non è superveloce è un vantaggio mica da poco)
- penso che usi clamav come antivirus
- Unica pecca (mia più che del sistema) è l'impostazione della connessione ad internet.

Infatti provandola sul PC sano ha avviato il tutto ma non sono riuscito a connetterlo ad internet. La connessione avviene via cavo ethernet, che è collegato ad un router. Il quale router prende la connessione da un'antenna-modem simil wi-fi (hiperlan) posta sul tetto.
Ora come strumento per la connessione usa netconfig, che io non conosco.
Pensavo che il router fosse impostato in dhcp e che automaticamente mi desse ip ecc.
Invece non so sia è davvero così a questo punto, ma penso di sì, solo che non ho esperienza con l'impostazione delle connessioni ad internet nel caso di LAN classiche. Causa digitaldivisione ho sempre armeggiato con modem di varia natura... :(

Bene, ho riportato questa piccola esperienza perchè magari qualche vostro commento possa essere di spunto.
Non ho avuto il tempo di provare tutte le live che m'avete consigliato. Pazienza. Grazie comunque.
Alla prossima! :)

PS.
Vorrei provare a mettere sull'attuale PC che ho sottomano (dual boot slack windows) ClamAV e scandire la partizione di windows lavorando da linux. Aprirò una discussione ad hoc perchè clamav non è così user friendly come i classici AV che conosco...
Avatar utente
joe
Master
Master
 
Messaggi: 1997
Iscritto il: ven apr 27, 2007 10:21
Slackware: 14.0
Kernel: 3.2.29-smp
Desktop: KDE-4.8.5

Re: Sistema live con antivirus.

Messaggioda navajo » sab feb 09, 2013 11:52

ottima esperienza.
l idea di aprire un 3d apposito mi piace.. purtroppo molti di noi hanno a che fare anche per lavoro, con pc con windows.
quello che mi viene in mente, della connessione internet tramite antenna, è che di solito hanno un ip fisso e non usano dhcp.
Avatar utente
navajo
Staff
Staff
 
Messaggi: 3825
Iscritto il: gio gen 08, 2004 0:00
Località: Roma
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)

Re: Sistema live con antivirus.

Messaggioda joe » sab feb 09, 2013 13:11

Sì ma nel caso che ho descritto l'antenna resta a monte.
Solo il router la vede davvero e lui prende la connessione dall'antenna-modem tramite PPPoE.
I PC della rete locale sono a valle del router. Non sanno nulla dell'antenna, direi...
Quindi immagino che prendano la connessione dal router semplicemente via dhcp.

Però al di là di queste osservazioni di "buon senso", purtroppo non ho le conoscenze per impostare la connessione di rete con linux. E così su due piedi, nella situazione in cui ero quando ho condotto la pulizia di quel PC non sono stato in grado di impostare nulla...
Per questo ho azzardato che un sistema linux residente sull'hd e impostato con calma possa tornare davvero molto utile al malcapitato che ha contratto l'infezione. Utile soprattutto a chi come me viene di tanto in tanto chiamato dall'amico di turno per debellare la solita porcheria dall'amato sistema di redmond.
Consigliare questa soluzione mi sembra una buona scelta no?
Ci vorrà un attimo di tempo in più per salvare, ridimensionare partizioni, e installare linux in dual boot ma poi si perderà meno tempo alla prossima disinfezione.

La cosa che mi viene da chiedermi è a cosa servano poi gli antivirus se alla fine il virus si prende ugualmente.
Il PC in questione era stato appena rimesso apposto da un tecnico pagato, in seguito (manco a dirlo) all'infezione dello stesso virus g.f.
Il tecnico aveva poi predisposto sul sistema Avira configurato e aggiornato regolarmente.
L'utente non molto esperto nonostante ciò ha ricontratto lo stesso virus dopo circa 10 giorni...
La presenza di Avira che comunque penso sia un prodotto buono, alla fine non è servita ad un piffero!

Quindi ok dotarsi di strategie per rimediare, ma dal lato prevenzione mi sembra non sia possibile lasciare tutto in mano ad un antivirus. Non basta.

Ora, se l'utente è abbastanza smaliziato da non cliccare a nastro tutto ciò che gli passa davanti al naso bene, ma altrmenti c'è davvero poco da fare...
Oppure no?
Pensate forse che vi siano strategie preventive che possano scongiurare con maggior efficacia l'infezione da parte di virus? Chiedo sempre per poter consigliare chi mi interpella.

Ad esempio io ho accennato che esiste la possibilità di creare su windows un account utente semplice con limitati permessi.
Usando quell'account per il quotidiano potrebbe esporre meno a rischi, o forse no?
Avatar utente
joe
Master
Master
 
Messaggi: 1997
Iscritto il: ven apr 27, 2007 10:21
Slackware: 14.0
Kernel: 3.2.29-smp
Desktop: KDE-4.8.5

Re: Sistema live con antivirus.

Messaggioda 414N » sab feb 09, 2013 16:18

joe ha scritto:Recentemente ho avuto a che fare con un PC infetto dal solito virus alla moda della guardia di finanza.

Ho avuto a che farci anch'io di recente su un PC che mi è stato portato per esser messo a posto e ci ho messo ben 3 ore buone prima di riuscire ad eliminare il problema.
Dato che non riuscivo ad accedere a nessun tipo di modalità provvisoria con l'account utente infetto (guarda caso amministratore), ho sbloccato l'utente "Administrator" andando a modificare una chiave di registro da una distro win-like live (Hiren) e, dopo varie altre traversie, sono riuscito a far partire combofix ed il problema è scomparso. Ovviamente, dopo il fatto, sono emersi siti "interessanti" nella cronologia dell'account infettato (che ha misteriosamente perso i diritti amministrativi :evil: ).
Il problema del virus in questione è che non è un virus, ma solo un programma di m###@ che si infila all'avvio ed impedisce di uscire dalla schermata che apre inibendo le solite combinazioni di tasti, quindi non è neanche troppa colpa di Avira che questi sia riuscito ad insediarsi nel sistema...
Avatar utente
414N
Iper Master
Iper Master
 
Messaggi: 2882
Iscritto il: mer feb 13, 2008 16:19
Località: Bulagna
Slackware: 14.0 (x64)
Kernel: 3.2.29
Desktop: LXDE

Re: Sistema live con antivirus.

Messaggioda joe » sab feb 09, 2013 21:26

Converrai con me che se il PC in questione avesse avuto un dual boot linux corredato da antivirus avresti risolto in meno tempo no?
Per rimettere apposto la modalità provvisoria, dopo aver disinfettato tutto, non so, magari hai già risolto, ma io ho usato un programmino chiamato fix safe mode o qualcosa del genere, tu come hai fatto?

Ancora una cosa, se l'utente avesse lavorato da un account non amministratore sarebbe cambiato qualcosa?

Grazie del tuo intervento! :D
Avatar utente
joe
Master
Master
 
Messaggi: 1997
Iscritto il: ven apr 27, 2007 10:21
Slackware: 14.0
Kernel: 3.2.29-smp
Desktop: KDE-4.8.5

Re: Sistema live con antivirus.

Messaggioda 414N » dom feb 10, 2013 11:02

joe ha scritto:Converrai con me che se il PC in questione avesse avuto un dual boot linux corredato da antivirus avresti risolto in meno tempo no?

In questo caso specifico forse no, dato che il programma non era un virus ed aveva intaccato più che altro il registro.
Alla fine li ho provati un po' tutti i metodi "manuali" che si trovano in giro per rimuoverlo, ma probabilmente sono incappato nella variante più s####@ che possa esserci, dato che non potevo andare in modalità provvisoria (reboot istantaneo del pc), in esecuzione automatica (e nelle varie chiavi di registro relative all'avvio automatico) ho disabilitato tutto ciò che c'era di sospetto ma il problema si ripresentava puntualmente al riavvio successivo ecc.
Solo riuscendo a lanciare combofix sono riuscito a debellarlo, ed essendo questo un tool solo per windows non credo che un'installazione collaterale di Linux mi avrebbe aiutato più di tanto.
joe ha scritto:Per rimettere a posto la modalità provvisoria, dopo aver disinfettato tutto, non so, magari hai già risolto, ma io ho usato un programmino chiamato fix safe mode o qualcosa del genere, tu come hai fatto?

Sinceramente la modalità provvisoria non l'ho ricontrollata dopo aver tolto il malware, ma presumo che combofix abbia sistemato pure quell'aspetto.
joe ha scritto:Ancora una cosa, se l'utente avesse lavorato da un account non amministratore sarebbe cambiato qualcosa?

Forse non in questo caso, in quanto (a meno di non sbagliarmi), ogni utente anche non privilegiato in Windows può eseguire dei programmi "di sua scelta" all'accesso.
Avatar utente
414N
Iper Master
Iper Master
 
Messaggi: 2882
Iscritto il: mer feb 13, 2008 16:19
Località: Bulagna
Slackware: 14.0 (x64)
Kernel: 3.2.29
Desktop: LXDE

Re: Sistema live con antivirus.

Messaggioda joe » dom feb 10, 2013 14:44

per quanto riguarda l'ultimo punto, forse se il virus o malware che sia fosse stato contratto come utente semplice, sarebbe stato possibile scansarlo in fase di disinfezione entrando con altro utente (per esempio come amministratore)... la butto lì senza aver testato eh...
Avatar utente
joe
Master
Master
 
Messaggi: 1997
Iscritto il: ven apr 27, 2007 10:21
Slackware: 14.0
Kernel: 3.2.29-smp
Desktop: KDE-4.8.5

Re: Sistema live con antivirus.

Messaggioda 414N » dom feb 10, 2013 14:59

Eh, era quello che pensavo anch'io quando ho attivato l'account nascosto Administrator, aspettandomi di avere accesso completo al sistema, mentre invece ho scoperto che, soprattutto nelle Home edition di Windows XP, le directory utente vengono normalmente impostate come "private", impedendo di fatto l'accesso anche agli altri amministratori (tipo Administrator). Non so se questo automatismo coinvolga tutti gli utenti o solo gli utenti amministratori, tuttavia mi ci sono inzuccato contro :)
Il bello è che questa feature non è attiva a livello di OS (quindi aggirabile senza problemi avviando un'altra installazione di Windows, per esempio), ma proprio a livello di filesystem NTFS. Ho dovuto utilizzare un tool apposito presente in Hiren's boot CD per rimuovere tale flag e guadagnare così accesso alla directory dell'utente compromesso da Administrator.
Avatar utente
414N
Iper Master
Iper Master
 
Messaggi: 2882
Iscritto il: mer feb 13, 2008 16:19
Località: Bulagna
Slackware: 14.0 (x64)
Kernel: 3.2.29
Desktop: LXDE


Torna a Libera

Chi c’è in linea

Visitano il forum: Google [Bot] e 2 ospiti