logo
TecnicoPC.net e un marchio Datacorp Technology Ltd.

Web, Mobile e Social Marketing

Pay Per Click (PPC) e Google AdWords Management

Creazione siti web, Internet e mobile app

Conversion Rate Optimization

Assistenza, manutezione e riparazione hardware e software.

Non esitate a contattarci

3451561619

contatti@tecnicopc.net

Via Primo Maggio 152, Luserna San Giovanni, TO, ITALIA

Lun - Ven 9.00 - 18.00h

3451561619

Luserna San Giovanni

Top

COMPUTER VIRUS

COMPUTER VIRUS

Di seguito alcuni dei casi tecnici relativi a virus e malware installati su computer.

I virus più comuni sono i virus che fingono di essere istituzioni dello stato, Polizia di Stato, Polizia penitenziaria, Guardia di finanza. Spesso su una macchina si trovano più tipologie di virus in quanto l’intervento viene richiesto solitamente quando vengono bloccate le funzioni principali del pc: impossibilità ad accedere al sistema; errori in accensione; impossibilità a collegarsi a internet.

Messaggi da falsi antivirus:

“Security Tool Attenzione. Il computer è ancora infetto di virus pericoloso. attivate protezione antivirus per prevenire la perdita dei dati, anche i dati della vostra carta di credito.”

“Wordpad.exe infetto Trojan.Win32.KillAV.gj Questo virus verme prova a inviare i dati della vostra carta di credito usando Wordpad.exe per collegarsi a host remoto.”

“The system has detected a problem with or more installed IDE/SATA hard disks. It is recommended that you restart the system.”

Alcuni tra gli strumenti usati:

Malwarebytes Anti-Malware

Kaspersky Rescue Disk 10

Dr.Web

Combofix

Alcuni dei virus identificati nelle foto:

virus.win32.tdss.b
virus.win32.zaccess.a
win32:alureon-fz
worm:win32/rorpian.gen!A
rootkit.win32.tdss.tdl4
rootkit.boot.sst.b
Boot sector virus BOO/TDss.O
Rootkit.ZeroAceess!

A volte è possibile identificare il virus tra i processi attivi nel task manager (gestione attività) di Windows: in una foto vediamo il processo sospetto dal nome “16178980.exe” che ritroviamo nel registro di sistema nella artella “dati applicazioni”, risulta essere impostato come file nascosto ed operiamo con comandi Dos per rinominarlo.

Le tecniche per l’individuazione ed eliminazione manuale di programmi e processi ‘virus’ partono dal trovare una modalità di accesso al contenuto del disco  in modo da poter operare sul sistema operativo infetto; le modalità di accesso sono diverse, si parte dall’avvio in modalità provvisoria – tasto F8 all’accensione – o con l’avvio in modalità provvisoria con prompt dei comandi operando sfruttando il sistema operativo da ripristinare, oppure utilizzando il disco di installazione di Windows Vista/7 e dalla modalità di ripristino avanzata scegliere il prompt dei comandi. Dal prompt si deve individuare il disco contenente il sistema operativo, di solito “D: ” e da li verificare che nel menù di Start di Windows, nelle esecuzione automatica in particolare, non ci siano programmi sconosciuti; di seguito eseguire il comando ‘Regedit’ ed utilizzando l’opzione ‘load hive’ caricare i rami del registro di configurazione della macchina ospite da “d:\windows\system32\config” e verificare i rami utilizzati per l’avvio di programmi. Tra gli altri:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Nell’ultima chiave verificare i valori
“Shell”=”Explorer.exe”
“Userinit”=”C:\\WINDOWS\\system32\\userinit.exe,”

In ultimo ricordiamo che sui computer in cui sono definiti più utenti il virus può essere presente solo in un profilo utente, per cui il tecnico computer potrà operare accedendo con un altra utenza, che abbia i diritti amministrativi, o operando con ‘run as’ ed utilizzando un account di amministrazione.

Tecnicopc.net propone un servizio di rimozione virus con tecnici computer anche a domicilio.
Contattaci.