Sistema live con antivirus.

Area di discussione libera.

Moderatore: Staff

Regole del forum
1) Rispettare le idee altrui.
2) Evitare le offese dirette.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
Avatar utente
joe
Iper Master
Iper Master
Messaggi: 3788
Iscritto il: ven 27 apr 2007, 11:21
Slackware: 15.0
Kernel: 5.15.38
Desktop: dwm

Sistema live con antivirus.

Messaggio da joe »

A volte mi ècapitato di soccorrere PC di amici con windows, contagiati da virus di vario tipo. Mi sono sempre arragniato un po' a tentoni appoggiandomi soprattutto alla modalità provvisoria.
Fermo restando che molto spesso basta una ricerca in rete per affrontare con una certa disinvoltura le operazioni da svolgere per eliminare un determinato virus, a volte mi sono trovato su due piedi magari per mancanza di ulteriori dettagli e poco tempo, davanti al PC di turno.

Pensavo che il tutto sarebbe piùefficente se disponessi di un CD o una chiavetta USB avviabile in grado di far girare un SO live sicuramente funzionante per riparare il SO infetto o malconcio.

Vedo in rete che ve ne sono diversi.
Avreste qualche consiglio partendo da quelli free-GPL o il più possibile opensource?

Avatar utente
navajo
Staff
Staff
Messaggi: 3884
Iscritto il: gio 8 gen 2004, 0:00
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)
Località: Roma

Re: Sistema live con antivirus.

Messaggio da navajo »

ci sono tante vie
la più semplice è usare ad esempio Ubuntu 12.04 su chiavetta e installare clamav o un altro antivirus.
Io uso SystemREscuecd che è un coltellino svizzero niente male. Però mi hanno consigliato anche di provare
INSIDE_SECURITY (c è pure la pagina in inglese :) )
clamav credo che faccia il suo dovere abbastanza bene.
Questo se si vuole utilizzare linux, e opensource. Altrimenti ci sono anche altre iniziative anche con windows.
ciao

qui si scarica inside se vuoi provarla

pedro70
Linux 0.x
Linux 0.x
Messaggi: 12
Iscritto il: mer 17 ott 2007, 9:38
Slackware: 14.0
Kernel: 3.2.29
Desktop: KDE-4.8.5
Località: Alessandria

Re: Sistema live con antivirus.

Messaggio da pedro70 »

Io mi trovo bene con AVG, ma per esperienza a volte non basta un solo antivirus, secondo posto per Kaspersky e terzo per FSecure.
Uso una chiavetta usb con multiboot preparata con questo http://www.pendrivelinux.com/yumi-multi ... b-creator/ su cui non possono mancare systemrescuecd, clonezilla e se puoi anche l'installer di windows; a volte chkdsk è l'unico che riesce a sistemare un ntfs.

Avatar utente
navajo
Staff
Staff
Messaggi: 3884
Iscritto il: gio 8 gen 2004, 0:00
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)
Località: Roma

Re: Sistema live con antivirus.

Messaggio da navajo »

pedro70 ha scritto:Io mi trovo bene con AVG, ma per esperienza a volte non basta un solo antivirus, secondo posto per Kaspersky e terzo per FSecure.
Uso una chiavetta usb con multiboot preparata con questo http://www.pendrivelinux.com/yumi-multi ... b-creator/ su cui non possono mancare systemrescuecd, clonezilla e se puoi anche l'installer di windows; a volte chkdsk è l'unico che riesce a sistemare un ntfs.
mi mancava.. :)
grazie per la segnalazione
:)

Avatar utente
scorpion77
Linux 1.x
Linux 1.x
Messaggi: 102
Iscritto il: gio 20 gen 2005, 0:00
Nome Cognome: Andrea
Slackware: Slackware64 14.1
Desktop: KDE 4.10.5

Re: Sistema live con antivirus.

Messaggio da scorpion77 »

Io ti consiglio Hiren's BootCD, ci sono un sacco di programmi, in più trovi una distro linux (Parted Magic) e mini Windows XP (se ti dovessero servire dei tool di Windows). Lo puoi scaricare qua: http://www.hirensbootcd.org/download/. Per rimuovere virus e malware in genere ti consiglio Malwarebytes Anti-Malware.

Scorpion77

Avatar utente
414N
Iper Master
Iper Master
Messaggi: 2922
Iscritto il: mer 13 feb 2008, 16:19
Slackware: 15.0
Kernel: 5.15.19
Desktop: KDE5
Località: Bulagna
Contatta:

Re: Sistema live con antivirus.

Messaggio da 414N »

Sul fronte antivirus-only c'è anche il rescue CD di Avira, una ISO aggiornata tutti i giorni con le ultime definizioni (ma aggiornabile anche tramite internet una volta messo in esecuzione, sempre che una connessione sia presente).

mbadici
Linux 0.x
Linux 0.x
Messaggi: 1
Iscritto il: ven 25 gen 2013, 22:04
Slackware: 14.0
Desktop: kde 4.9
Distribuzione: slackware

Re: Sistema live con antivirus.

Messaggio da mbadici »

take a look at http://mihai.badici.ro/linux/bitslack/
It's a slackware 14.0 install image with bitdefender for linux who run only in RAM
I currently provide USB and PXE version.
(some messages are in romanian but I can change if you need)
I build it first for antivirus but I use it also as rescue boot.

Avatar utente
joe
Iper Master
Iper Master
Messaggi: 3788
Iscritto il: ven 27 apr 2007, 11:21
Slackware: 15.0
Kernel: 5.15.38
Desktop: dwm

Re: Sistema live con antivirus.

Messaggio da joe »

Recentemente ho avuto a che fare con un PC infetto dal solito virus alla moda della guardia di finanza.
M'era già capitato su un'altro PC e avevo risolto avviando in modalità provvisoria con prompt dei comandi, da lì poi avevo usato combofix che aveva eliminato il problema facilmente.
Invece sull'ultimo PC infetto da questo virus ho riscontrato un malfunzionamento della modalità provvisoria. In pratica scegliendo di far partire il sistema in quella modalità ecco che il PC si riavvia e si riesce solamente ad avviare windows normalmente.
In questa situazione l'unica è tentare di avviare con un livecd dotato di antivirus.

Ora, il PC in questione è apparso particolarmente jellato, infatti ho provato con:
1- kaspersky rescue cd
2- avira rescue cd
3- avg rescue cd
4- antiviruslivecd

Il fatto è che nessuno dei CD in questione è riuscito ad avviarmi il PC.
Tra l'altro ho provato gli stessi live su un'altra macchina (sana) e tutti hanno funzionato senza problemi!
Alla fine avevo un vecchio CD di Clonezilla e con quello scegliendo la modalità filesafe mode sono riuscito ad avviare la macchina infetta.
Finalmente mi sono ritrovato davanti ad una shell da cui è stato possibile eliminare alcuni files presenti nella directory "Esecuzione Automatica". A quel punto riavviando windows il virus guardia di finanza non s'è attivato e ho potuto far girare l'antivirus Avira presente nel sistema che ha rilevato ed eliminato ben 15 file riconosciuti come minacce.

Da questa esperienza traggo una considerazione:
- perchè non fare una partizioncina dell'hd con linux?
- si imposta la connessione ad internet
- si installa un antivirus che gira su linux (avast o clamav per dirne due)

Vantaggi:
- quando l'utente poco esperto visita siti pericolosi e si becca un virus
- avvia linux invece di windows
- lancia l'antivirus che si aggiornerà il database delle minacce
- lancia la scansione sulla partizione di windows
- rimuove i virus

Altri vantaggi:
- non si cadrà in errori di compatibilità tra la macchina infetta e i vari antivirus livecd che fanno perdere un sacco di tempo
- non si avranno problemi con l'impostazione della connessione ad intenret richiesta da alcuini livecd per aggiornare il database delle minacce.
- in soldoni con una decina scarsa, ma anche meno a seconda della distribuzione usata, di GB di HD ci si risparmia parecchio tempo per la disinfezione del sistema.

Tra le varie live che ho provato mi ha comunque impressionato abbastanza questa:
http://antiviruslivecd.4mlinux.com/

- 16MB di roba (se la connessione ad internet non è superveloce è un vantaggio mica da poco)
- penso che usi clamav come antivirus
- Unica pecca (mia più che del sistema) è l'impostazione della connessione ad internet.

Infatti provandola sul PC sano ha avviato il tutto ma non sono riuscito a connetterlo ad internet. La connessione avviene via cavo ethernet, che è collegato ad un router. Il quale router prende la connessione da un'antenna-modem simil wi-fi (hiperlan) posta sul tetto.
Ora come strumento per la connessione usa netconfig, che io non conosco.
Pensavo che il router fosse impostato in dhcp e che automaticamente mi desse ip ecc.
Invece non so sia è davvero così a questo punto, ma penso di sì, solo che non ho esperienza con l'impostazione delle connessioni ad internet nel caso di LAN classiche. Causa digitaldivisione ho sempre armeggiato con modem di varia natura... :(

Bene, ho riportato questa piccola esperienza perchè magari qualche vostro commento possa essere di spunto.
Non ho avuto il tempo di provare tutte le live che m'avete consigliato. Pazienza. Grazie comunque.
Alla prossima! :)

PS.
Vorrei provare a mettere sull'attuale PC che ho sottomano (dual boot slack windows) ClamAV e scandire la partizione di windows lavorando da linux. Aprirò una discussione ad hoc perchè clamav non è così user friendly come i classici AV che conosco...

Avatar utente
navajo
Staff
Staff
Messaggi: 3884
Iscritto il: gio 8 gen 2004, 0:00
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)
Località: Roma

Re: Sistema live con antivirus.

Messaggio da navajo »

ottima esperienza.
l idea di aprire un 3d apposito mi piace.. purtroppo molti di noi hanno a che fare anche per lavoro, con pc con windows.
quello che mi viene in mente, della connessione internet tramite antenna, è che di solito hanno un ip fisso e non usano dhcp.

Avatar utente
joe
Iper Master
Iper Master
Messaggi: 3788
Iscritto il: ven 27 apr 2007, 11:21
Slackware: 15.0
Kernel: 5.15.38
Desktop: dwm

Re: Sistema live con antivirus.

Messaggio da joe »

Sì ma nel caso che ho descritto l'antenna resta a monte.
Solo il router la vede davvero e lui prende la connessione dall'antenna-modem tramite PPPoE.
I PC della rete locale sono a valle del router. Non sanno nulla dell'antenna, direi...
Quindi immagino che prendano la connessione dal router semplicemente via dhcp.

Però al di là di queste osservazioni di "buon senso", purtroppo non ho le conoscenze per impostare la connessione di rete con linux. E così su due piedi, nella situazione in cui ero quando ho condotto la pulizia di quel PC non sono stato in grado di impostare nulla...
Per questo ho azzardato che un sistema linux residente sull'hd e impostato con calma possa tornare davvero molto utile al malcapitato che ha contratto l'infezione. Utile soprattutto a chi come me viene di tanto in tanto chiamato dall'amico di turno per debellare la solita porcheria dall'amato sistema di redmond.
Consigliare questa soluzione mi sembra una buona scelta no?
Ci vorrà un attimo di tempo in più per salvare, ridimensionare partizioni, e installare linux in dual boot ma poi si perderà meno tempo alla prossima disinfezione.

La cosa che mi viene da chiedermi è a cosa servano poi gli antivirus se alla fine il virus si prende ugualmente.
Il PC in questione era stato appena rimesso apposto da un tecnico pagato, in seguito (manco a dirlo) all'infezione dello stesso virus g.f.
Il tecnico aveva poi predisposto sul sistema Avira configurato e aggiornato regolarmente.
L'utente non molto esperto nonostante ciò ha ricontratto lo stesso virus dopo circa 10 giorni...
La presenza di Avira che comunque penso sia un prodotto buono, alla fine non è servita ad un piffero!

Quindi ok dotarsi di strategie per rimediare, ma dal lato prevenzione mi sembra non sia possibile lasciare tutto in mano ad un antivirus. Non basta.

Ora, se l'utente è abbastanza smaliziato da non cliccare a nastro tutto ciò che gli passa davanti al naso bene, ma altrmenti c'è davvero poco da fare...
Oppure no?
Pensate forse che vi siano strategie preventive che possano scongiurare con maggior efficacia l'infezione da parte di virus? Chiedo sempre per poter consigliare chi mi interpella.

Ad esempio io ho accennato che esiste la possibilità di creare su windows un account utente semplice con limitati permessi.
Usando quell'account per il quotidiano potrebbe esporre meno a rischi, o forse no?

Avatar utente
414N
Iper Master
Iper Master
Messaggi: 2922
Iscritto il: mer 13 feb 2008, 16:19
Slackware: 15.0
Kernel: 5.15.19
Desktop: KDE5
Località: Bulagna
Contatta:

Re: Sistema live con antivirus.

Messaggio da 414N »

joe ha scritto:Recentemente ho avuto a che fare con un PC infetto dal solito virus alla moda della guardia di finanza.
Ho avuto a che farci anch'io di recente su un PC che mi è stato portato per esser messo a posto e ci ho messo ben 3 ore buone prima di riuscire ad eliminare il problema.
Dato che non riuscivo ad accedere a nessun tipo di modalità provvisoria con l'account utente infetto (guarda caso amministratore), ho sbloccato l'utente "Administrator" andando a modificare una chiave di registro da una distro win-like live (Hiren) e, dopo varie altre traversie, sono riuscito a far partire combofix ed il problema è scomparso. Ovviamente, dopo il fatto, sono emersi siti "interessanti" nella cronologia dell'account infettato (che ha misteriosamente perso i diritti amministrativi :evil: ).
Il problema del virus in questione è che non è un virus, ma solo un programma di m###@ che si infila all'avvio ed impedisce di uscire dalla schermata che apre inibendo le solite combinazioni di tasti, quindi non è neanche troppa colpa di Avira che questi sia riuscito ad insediarsi nel sistema...

Avatar utente
joe
Iper Master
Iper Master
Messaggi: 3788
Iscritto il: ven 27 apr 2007, 11:21
Slackware: 15.0
Kernel: 5.15.38
Desktop: dwm

Re: Sistema live con antivirus.

Messaggio da joe »

Converrai con me che se il PC in questione avesse avuto un dual boot linux corredato da antivirus avresti risolto in meno tempo no?
Per rimettere apposto la modalità provvisoria, dopo aver disinfettato tutto, non so, magari hai già risolto, ma io ho usato un programmino chiamato fix safe mode o qualcosa del genere, tu come hai fatto?

Ancora una cosa, se l'utente avesse lavorato da un account non amministratore sarebbe cambiato qualcosa?

Grazie del tuo intervento! :D

Avatar utente
414N
Iper Master
Iper Master
Messaggi: 2922
Iscritto il: mer 13 feb 2008, 16:19
Slackware: 15.0
Kernel: 5.15.19
Desktop: KDE5
Località: Bulagna
Contatta:

Re: Sistema live con antivirus.

Messaggio da 414N »

joe ha scritto:Converrai con me che se il PC in questione avesse avuto un dual boot linux corredato da antivirus avresti risolto in meno tempo no?
In questo caso specifico forse no, dato che il programma non era un virus ed aveva intaccato più che altro il registro.
Alla fine li ho provati un po' tutti i metodi "manuali" che si trovano in giro per rimuoverlo, ma probabilmente sono incappato nella variante più s####@ che possa esserci, dato che non potevo andare in modalità provvisoria (reboot istantaneo del pc), in esecuzione automatica (e nelle varie chiavi di registro relative all'avvio automatico) ho disabilitato tutto ciò che c'era di sospetto ma il problema si ripresentava puntualmente al riavvio successivo ecc.
Solo riuscendo a lanciare combofix sono riuscito a debellarlo, ed essendo questo un tool solo per windows non credo che un'installazione collaterale di Linux mi avrebbe aiutato più di tanto.
joe ha scritto: Per rimettere a posto la modalità provvisoria, dopo aver disinfettato tutto, non so, magari hai già risolto, ma io ho usato un programmino chiamato fix safe mode o qualcosa del genere, tu come hai fatto?
Sinceramente la modalità provvisoria non l'ho ricontrollata dopo aver tolto il malware, ma presumo che combofix abbia sistemato pure quell'aspetto.
joe ha scritto:Ancora una cosa, se l'utente avesse lavorato da un account non amministratore sarebbe cambiato qualcosa?
Forse non in questo caso, in quanto (a meno di non sbagliarmi), ogni utente anche non privilegiato in Windows può eseguire dei programmi "di sua scelta" all'accesso.

Avatar utente
joe
Iper Master
Iper Master
Messaggi: 3788
Iscritto il: ven 27 apr 2007, 11:21
Slackware: 15.0
Kernel: 5.15.38
Desktop: dwm

Re: Sistema live con antivirus.

Messaggio da joe »

per quanto riguarda l'ultimo punto, forse se il virus o malware che sia fosse stato contratto come utente semplice, sarebbe stato possibile scansarlo in fase di disinfezione entrando con altro utente (per esempio come amministratore)... la butto lì senza aver testato eh...

Avatar utente
414N
Iper Master
Iper Master
Messaggi: 2922
Iscritto il: mer 13 feb 2008, 16:19
Slackware: 15.0
Kernel: 5.15.19
Desktop: KDE5
Località: Bulagna
Contatta:

Re: Sistema live con antivirus.

Messaggio da 414N »

Eh, era quello che pensavo anch'io quando ho attivato l'account nascosto Administrator, aspettandomi di avere accesso completo al sistema, mentre invece ho scoperto che, soprattutto nelle Home edition di Windows XP, le directory utente vengono normalmente impostate come "private", impedendo di fatto l'accesso anche agli altri amministratori (tipo Administrator). Non so se questo automatismo coinvolga tutti gli utenti o solo gli utenti amministratori, tuttavia mi ci sono inzuccato contro :)
Il bello è che questa feature non è attiva a livello di OS (quindi aggirabile senza problemi avviando un'altra installazione di Windows, per esempio), ma proprio a livello di filesystem NTFS. Ho dovuto utilizzare un tool apposito presente in Hiren's boot CD per rimuovere tale flag e guadagnare così accesso alla directory dell'utente compromesso da Administrator.

Rispondi