QUI - Malefi©o

Guida a PScanner++
Clicca QUI per il download di PScanner++.
Pscanner++ e' un software freeware ( gratuito ) in lingua inglese ed il suo utilizzo e' per coloro che
possiedono sistemi operativi windows quali :
Windows 95/98/Me/NT/2000/XP/2003 Server
Una volta scaricato il file dovete estrarre dalla cartella il file eseguibile pscanner.exe lanciando cosi'
l'applicazione.
Premessa: nel caso al link indicato il software non sia aggiornato all' ultima versione , vi verra' notificato
tramite finestra a centro pagina durante l'installazione che richiede pochissimo tempo e dopo la vostra
conferma, entro pochi secondi, il programma si riavviera' notificando l'aggiornamento all' ultima versione.
Nell' interfaccia del programma una volta lanciato noterete dei bottoni che indicano rispettivamente :
• File scanner
• Hijacker
• Task Manager
• RegEdit
• Prompt
• Services
Analizziamo quindi queste opzioni una ad una partendo da :
• File scanner
Premendo questo bottone ecco la videata che si presenta :
Noterete il Target path dove di default e' selezionato il Drive C ma tramite l'apposita freccetta potete
selezionare a vostra discrezione diverse opzioni ( molto intuitivo ) ma aggiungo che mettendo il segno di
spunta su Custom potrete selezionare gli eventuali altri HD, unita' CD o DVD e Floppy iconando
l'apposito riquadro al fianco delle unita' presenti nel vostro pc.
A destra del Target path trovate le opzioni di scansione e il mio consiglio e' quello di lasciare i segni di
spunta cosi' come li trovate di default.
Questa modalita' prevede due tipologie di scansione :
• Rilevazione di alcuni Rootkit.
• Scansione completa dell' HD o degli HD selezionati.
pippodio prima della stesura di questa guida ci ha fornito alcune informazioni essenziali , di conseguenza
le citiamo perche' sono dettagli molto importanti che riguardano le procedure da attuare prima della
scansione e finita la scansione :
A sinistra in alto dell' interfacia del programma trovate il bottone Utility , utilizzatelo per effettuare il
Disk Cleanup eliminando cosi' i file temporanei e altresi' utilizzate la funzione System Restore ovvero
eliminate i punti di ripristino del sistema , cosi' facendo eliminerete eventuali virus che come gia'
sappiamo si annidano in questa utile ma pericolosa funzionalita' offerta agli utilizzatori di sistemi
windows.
Partiamo adesso alla scansione del Drive selezionato o dell' eventuale unita' sia nella modalita' Scan for
Rootkit o nella modalita' Scan for Packed Files (consigliate entrambe)
• File Scanner: cercate i file packati e/o sospetti (e dico sospetti non infetti) e fixate tutto ciò che
ritenete potenzialmente pericoloso ignorando il resto. IMPORTANTE: tutti i file che andrete a fixare
non verranno cancellati ma semplicemente spostati nella cartella "C:\PScanner backup" dalla
quale ovviamente potranno essere ripristinati. Quindi niente paura. Lo stesso vale anche per gli altri
moduli.
La scansione del sistema e' molto dettagliata e i file verranno contraddistinti da questa simbologia
durante la scansione :
Questi invece sono i simboli con i quali i file verranno identificati , molto intuitivi , quindi tenete presente
che mentre gli altri vanno analizzati , i Missing e i Rootkit vanno prioritariamente rimossi.
Packed
Cominciamo dai file Packed ; suppongo ne visualizzerete a scansione ultimata, questo tipo di file è il
formato di file standard per gli eseguibili Win32 quindi non da eliminare ma sicuramente da analizzare
perche' pur avendo attributo -a-- non e' detto che non sia nocivo, in questo tipo di scansione
visualizzerete stringhe di colore nero e altre di colore verde , quelle di colore verde sono quelle Microsoft
ma avete a disposizione l' opzione "Marks Microsoft files" per eliminare la colorazione ,per eseguire
tale operazione non dovete far altro che dal menu Options levare l'apposito segno di spunta.
Quindi per prima cosa controllate anche l'attributo Company se ha una firma quindi un produttore, ma
se avete dubbi allora avvaletevi della funzione di ricerca di tale stringa che puo' essere o una libreria
dinamica o un eseguibile o altro, per farlo posizionate la freccia del mouse sulla stringa che volete
controllare , cliccate sul tasto destro e dal menu' che compare prima selezionate la funzione Show Info e
successivamente Google e verrete indirizzati alla visualizzazione del significato di tale stringa in modo
tale che se si trattasse di malware non dovrete far altro che mettere il segno di spunta e premere il
bottone FIX
Passiamo ora ad analizzare i file identificati con valore Hidden
In genere li trovate con attributo -ahs, non ne troverete certamente tanti come i Packed a scansione
ultimata, ma anche qui dovete fare molta attenzione perche' il piu' delle volte non si tratta di file nocivi,
anzi, ma un controllo approfondito e' sempre meglio effettuarlo , quindi Hidden significa nascosto ma
non per questo nocivo , ricordatelo.
I file invece contrassegnati come Suspect meritano molta attenzione quindi vanno analizzati a fondo ,
l'attributo e' r-hs
Passando ai file Locked ovvero i file bloccati possiamo dire che sono i file in memoria e tanto per farvi un
esempio citiamo una stringa che molti di voi troveranno a scansione ultimata ovvero questa
C:\hiberfil.sys , non e' altro che il file dove Windows va a scrivere lo stato del sistema quando va in
modalità sospensione , non e' sospetto e volendo lo si puo' eliminare sia con il bottone FIX o con la
procedura manuale Desktop > proprieta' > screnn saver ecc. ecc. , il tutto per guadagnare un sacco di
MB che questa file indubbiamente occupa. Poi trovate la stringa relativa al file SAM ovvero dove vengono
archiviate le password criptate di windows, questi parametri quindi e' meglio non toccarli e se proprio
siete curiosi chiedete prima di procedere.
L'ultimo parametro da analizzare e' riguardante i file
spybot , ovvero :
ADS e qui mi avvalgo di una descrizione data da
L'ADS è una tecnologia utilizzata per memorizzare dati aggiuntivi relativi a file e già nel sistema ha
molteplici usi legittimi. Pertanto tale strumento individuerà soltanto quelle voci ADS riconosciute come
"alterne" nella proprietà "tipo definito dall'utente", come talvolta accade con spyware, malware e virus.
Per maggiori dettagli sugli ADS vi invito a cliccare QUI
io di mio posso dirvi che li potete trovare anche nelle immagini che avete prelevato da internet , magari
proprio quelle immagini che poi vi accingete ad utilizzare come wallpaper; questa funzione di
PScanner++ e' l'equivalente di cio' che fa' il programma della Merijn ovvero l'ADSspy solo che l'Adsspy
fa' solo questo , mentre invece nel PScanner++ e' solo una delle funzioni tra le tante che sono incluse nel
programma.
Hijacker
Define(wikipedia)
Il termine 'hijacker' o 'browser hijacker' (dall'inglese per "dirottare") indica un tipo di malware che prende
il controllo di un browser al fine di modificarne la pagina iniziale o farlo accedere automaticamente a siti
indesiderati. Nei sistemi Windows, un hijacker agisce spesso sui registri di sistema (cosa che può rendere
molto difficile la sua identificazione da parte di utenti inesperti). Può coesistere o cooperare con altri tipi
di malware: per esempio, una manomissione del sistema a scopo di hijacking può essere eseguita da un
trojan horse; oppure, un hijacker può dirottare il browser su pagine con contenuti dinamici che
consentono altri tipi di attacco al computer (dialer, virus, e così via).
Quindi per l'interpretazione di stringhe inerenti alla sezione Hijacker avvaletevi della funzione offerta dal
programma che vi indirizzera' tramite Google ad una definizione del determinato processo che prenderete
in esame ; ricordo che questa funzione Hijacker, la sua interpretazione e di conseguenza la rimozione
previa individuazione di file nocivo e' per utenti esperti , si consiglia di conseguenza nell' eventuale
dubbio di chiedere prima di combianare casini vari.
Concludendo ricordatevi che tutto cio' che voi fixerete lo ritroverete nella >cartella di backup di
, doppio click per aprirla e noterete subito le icone relative ai backup
PScanner++
quindi nel caso malaugurato che qualcosa andasse storto doppio click sulla cartella che individuerete con
il nome del file rimosso per riprisitnare.
Task Manager
Qui potrete monitorizzare in tempo reale cio' che avviene nel vostro sistema e avrete a disposizione due
opzioni per farlo.
• Nome Immagine
• Moduli
Nel caso riscontrate processi che appaiano "strani" bastera' usare il tasto destro del mouse posizionato
sulla stringa incriminata e killare il processo (opzione Kill) nel caso si abbia la certezza di malware
utilizzate invece l'opzione Kill & Delete
Regedit
Qui potrete effettuare le modifiche al registro di windows tramite questa opzione integrata nel
PScanner++ o nell' eventualita' eliminare direttamente le chiavi nocive senza dover effettuare i
passaggi da start > esegui > regedit > ok.
Prompt
Anche in questo caso si tratta di un integrazione molto utile del PScanner++ da qui potrete controllare e
monitorare il traffico digitando il comando netstat accompagnato ad esempio dal -a
Quindi potete digitare vari comandi , ve ne cito alcuni tra i piu' conosciuti per monitorizzare il traffico :
netstat -a
nestat -n
nestat -n -a
Services
Un altra utilissima opzione integrata nel PScanner++ che vi risparmia i vari passaggi da start > esegui
> services.msc
Da qui potete monitorizzare i servizi e nell' eventualita' riscontriate servizi "strani" avrete la possibilita'
sempre attraverso la funzione del tasto destro del mouse posizionato sull'apposito servizio, di disabilitarlo
e del caso malware cliccate sul l'opzione Unregister!
Tasks
Qui ci stanno le operazioni painificate e si trovano spesso virus. Guardare (e ricordare) sempre il path e
fixare i virus.
Unlocker
Nella release 1.7.2.0 di PScanner++ e' stata introdotta da pippodio un altra interessante e utilissima
funzionalita' ovvero l'opzione Unlocker che serve appunto a sbloccare i file non cancellabili perchè aperti
da chissà quale applicazione.
Cliccando col tasto destro su un file bloccato è possibile risalire ai processi che lo utilizzano e, se
necessario, sboccarli e cancellarli. Utilizzando questa tecnica è possibile cancellare al volo anche gli
index.dat