Come essere sicuri di non avere un virus quando gli scanner antivirus non trovano nulla di malevolo? (Windows 7)


16

Di recente ho trascorso molte ore alla risoluzione dei problemi di un laptop che non è stato in grado di connettersi a Internet. Il laptop non ha mostrato altri comportamenti innaturali, quindi i miei primi pensieri sono stati quelli di provare a collegarmi ad altre reti, provare una nuova scheda di rete, ecc ... La domanda che ho pubblicato può essere trovata qui con maggiori dettagli. Una delle prime cose che ho fatto è stata quella di verificare la presenza di virus con MalwareBytes, eSet e Panda Cloud Antivirus ... Tutte e 3 le scansioni sono state eseguite separatamente e indipendentemente l'una dall'altra e non è stato trovato alcun virus. Ho quindi continuato a dedicare ore e ore alla risoluzione dei problemi e alla fine ho portato il computer in un'officina dove è stato scoperto che aveva un virus.

La mia domanda non è soggettiva, non sto chiedendo quale sia il miglior software antivirus da utilizzare. Mi chiedo come posso effettivamente essere sicuro di non avere virus quando le scansioni antivirus popolari e generalmente efficaci non rilevano assolutamente nulla?

In passato la mia routine sarebbe stata quella di scorrere l'elenco dei processi in esecuzione e dei programmi di avvio e utilizzare le risorse online per cercare di trovare qualcosa di dannoso. Questa routine mi è sembrata relativamente sciocca di fronte a tutti questi programmi antivirus e ho pensato che sarebbe stato più efficace eseguire scansioni che guardare manualmente da solo.

Ovviamente le aziende IT hanno un metodo efficace per identificare i virus, e dubito che queste aziende stiano eseguendo solo uno scanner di virus. Chiaramente l'esperienza mi avrebbe portato a identificare il mio problema come virus, ma sento che ci sono tutti i modi in cui un virus non rilevato può manifestarsi, quindi non voglio fare affidamento esclusivamente sull'esperienza.

Modificare:

Dovrei chiarire un po 'questo. Non sto necessariamente cercando una lista di controllo "definitiva" di cose da fare per identificare i virus, ma chiaramente ci sono modi per identificarli quando le nostre normali scansioni antivirus non riescono, e mi chiedo quali potrebbero essere alcuni di questi approcci.


"Ho pensato che sarebbe stato più efficace eseguire scansioni che guardare manualmente da solo." => Completamente errato, umano ( con sufficiente esperienza e buona formazione ) è un sistema di rilevazione / rimozione virus molto più efficace di qualsiasi soluzione software oggi. Il software non può battere le scansioni euristiche di persone IT.
Sampo Sarrala - codidact.org il

1
Se si mette in dubbio la sicurezza del sistema, l'unica vera soluzione è formattare il sistema. Quale virus è stato scoperto, queste officine di riparazione computer, hanno questa brutta abitudine di trovare cose che in realtà non esistono. Pubblica il file di registro che ha dimostrato che avevi un virus, se non sono in grado di fornire questo, chiederei i tuoi soldi indietro. Se affermano di averlo eliminato, chiedi i tuoi soldi indietro, perché ciò significa che in realtà non hanno mai trovato nulla.
Ramhound,

Quando si tratta di software antivirus, tu (in una certa misura) ottieni quello per cui paghi. Dei tre pacchetti che elenchi, solo eSet è apparentemente un prodotto AV completamente commerciale e se hai utilizzato la "prova gratuita" probabilmente hai una versione paralizzata. (Ho l'impressione che non avessi prodotto AV sul laptop per iniziare, e ho provato a chiudere il portale agricolo solo dopo che i bovini si erano allontanati.)
Daniel R Hicks il

Prova a ComboFix che è un buon rilevatore di malware.
avirk,

Aveva Mcafee per caso? Ho trascorso 4 ore a risolvere un problema simile e si è scoperto che Mcafee ha inviato una brutta patch, il che ha reso impossibile il networking.
Phillip R.,

Risposte:


13

Nessun pacchetto antivirus è perfetto. Ho visto virus che invio a http://virusscan.jotti.org/en e solo 2 o 3 dei pacchetti li rilevano. Ho anche avuto un virus che è stato segnalato da tutti.

Quindi, se devo pulire / scansionare un computer alla ricerca di virus, queste sono alcune delle cose che faccio.

Verifica preliminare

Controllare ed eventualmente eliminare i file nella cartella temporanea e anche i file temporanei di Internet. Se ci sono dieci o migliaia di file o più, l'eliminazione di questi può ridurre significativamente il tempo necessario per eseguire una scansione completa. È tuttavia possibile per questo eliminare un virus memorizzato in queste posizioni prima che possa essere identificato.

Fase 1

Avviare un CD / DVD pulito, ad esempio un CD Bart o uno speciale CD AntiVirus

  • Esegui scansioni con diversi programmi antivirus, antimalware e rootkit
  • Configurare Explorer per mostrare i file e le cartelle nascosti e cercare i file aggiunti di recente alle cartelle della cartella principale, Windows, Windows \ System32 e Programmi. Cerca anche file e / o cartelle nascosti in quei luoghi. La presenza di tali file non significa necessariamente un problema, ma di solito cerco di identificarli per assicurarmi che siano legittimi)

Fase 2

Avvio nel sistema operativo normalmente

  • Esegui scansioni con diversi programmi antivirus, antimalware e rootkit
  • Esegui programmi come Autoruns e Hijackthis che mostrano tutto ciò che viene avviato automaticamente o le cose che si agganciano a Windows (ad esempio componenti aggiuntivi di Windows). Nessuno di questi programmi cerca di determinare ciò che è buono e ciò che è cattivo, ma invece ti danno informazioni e spetta a te decidere se le voci sono valide.
  • Esegui TaskManager o Process Explorer per vedere quali processi sono in esecuzione.
  • Cerca in aggiungi / rimuovi programmi e vedi che tipo di programmi è stato reinstallato e rimuovi tutti i file indesiderati. Non voglio menzionare alcun nome, ma ci sono alcune barre degli strumenti, giochi di poker e alcuni programmi di condivisione di file che sembrano sempre causare programmi e molto spesso l'utente / proprietario del computer non li ha installati deliberatamente. (Ad esempio, barre degli strumenti in bundle con altri programmi)

Fase 3 (tempo permettendo)

  • Riavvia Windows e connettiti a Internet e lascialo per un po ', quindi ripeti la Fase 1 per assicurarti che la macchina sia ancora pulita.

Fase 4

  • Incrociare le dita e / o pregare che la macchina sia pulita.

Ti sto dando la risposta perché hai fornito una buona routine qui che ritengo molto efficace. Eseguirò questi passaggi la prossima volta che mi imbatterò in un virus non rilevato prima di ricorrere a killdisking / reformatting.
JonathonG,

Ho un'immagine pulita (con applicazioni e aggiornamenti) che ripristino ogni anno o giù di lì, quindi anche se qualcosa di subdolo si fa strada sul mio sistema, alla fine verrebbe cancellato.
Austin '' Danger '' Powers

5

Come essere certi di non avere un virus quando gli scanner antivirus non trovano nulla

Non puoi.

Tuttavia, se si desidera essere sicuri che un virus non stia causando problemi con l'accesso a Internet, avviare semplicemente da un CD live o USB. Se non è possibile accedere a Internet, è possibile che si sia verificato un problema hardware. Preferibilmente uno creato su un sistema diverso e pulito.


So che non puoi esserne sicuro al 100%, ma ci devono essere modi migliori rispetto a ESCLUSIVAMENTE che eseguono scanner antivirus di flusso principale, che non sembrano mai essere efficaci al 100% per me. Per quanto riguarda il tuo suggerimento, generalmente eseguo l'avvio da un sistema operativo alternativo tramite supporti puliti e portatili, generalmente Ubuntu. In questo caso particolare, tuttavia, non avevo questa opzione. Inoltre, nel caso in cui un sistema operativo pulito acceda correttamente a Internet, ciò mi dice solo che posso aspettarmi di cercare un problema con il mio normale sistema operativo / file / driver, non necessariamente come posso trovare quel problema (sia che si tratti di un virus o no.)
JonathonG

@JonathonG: non condivido la tua convinzione. Le aziende IT utilizzano AV commerciale. Le uniche altre tecniche sono i checksum prodotti usando un live-CD pulito, confrontati quotidianamente (diciamo) con i checksum memorizzati su supporti che non sono mai collegati a sistemi vulnerabili se non quando vengono avviati dal live-CD. Ecco un vecchio ma interessante articolo che non aiuta direttamente :-)
RedGrittyBrick il

Grazie. Capisco che le soluzioni di "AV commerciale" saranno diverse da qualcosa come la scansione gratuita di eSet. Tuttavia, devo ancora chiedermi perché 3 scanner antivirus completamente aggiornati e separati non sono riusciti a trovare nemmeno un singolo file dannoso e lo scanner antivirus dell'azienda IT lo ha trovato senza problemi.
JonathonG,

@JonathonG: Possiamo solo speculare: forse hanno eseguito un AV diverso e sono stati fortunati. Forse hanno configurato un AV per eseguire i controlli più rigorosi (e quindi i test più dispendiosi in termini di tempo e di CPU che gli utenti ordinari non tollerano).
RedGrittyBrick il

0

Non sono un analista di malware, ma condividerò la mia poca conoscenza con te. I miei due centesimi -

Cerca cose come: strani file nel tuo avvio, cartella Windows e ampie fluttuazioni nello spazio libero sul disco rigido. A volte i nomi dei file malware sono simili ai nomi dei file del sistema operativo Windows come% svchost% .exe o% Splwow64% .exe ecc. Inoltre, cerca i processi "strani" in Task Manager.

Non puoi essere certo che un AV sarà anche in grado di rilevare un malware scritto e rilevato 1 anno fa. Come ? Se questo malware viene crittografato correttamente, diventerà non rilevabile. I criptatori possono essere acquistati da mercati online illegali. Ecco un video che pubblicizza un crypter con molte funzionalità. Non so quanto sia efficace nel creare malware FUD.

http://www.youtube.com/watch?v=wlaO7flygKQ

Inoltre, considera di diventare un membro di bleepingcomputer.com. IMHO, è un posto migliore per porre questo tipo di domande e per leggere tutorial gratuiti per proteggere i computer di casa e anche per le strategie anti-malware.

HTH


-3

Per qualsiasi virus prodotto da un programmatore competente, ciò che è stato menzionato non è sufficiente, per fortuna la maggior parte dei virus è prodotta da quindicenni usando Visual Basic. Non era uno scherzo, è un dato di fatto, ma ecco alcune informazioni in più.

Poiché Microsoft è così "grande" NTFS ha un modo per nascondere i file, si chiama flussi di dati alternativi, nulla è visibile attraverso Explorer o la riga di comando, alcuni antivirus non lo scansionano nemmeno, cancellano.

Assicurati di utilizzare Windows 8 o Grattugia, ci sono stati alcuni aggiornamenti di sicurezza attesi da tempo che "impediscono" la manipolazione diretta degli oggetti del kernel, prima che fosse facile come poche righe di codice e che tu potessi nascondere un processo dall'elenco dei processi.

La maggior parte dei virus sono realizzati esclusivamente per Windows, ma Windows ha una migliore sicurezza in molti aspetti come la protezione della memoria.

La migliore difesa contro i virus è la conoscenza, l'addestramento delle persone e il loro rispetto delle regole di sicurezza, ad esempio il mancato download di qualsiasi cosa non sia stata creata da aziende fidate.


Grazie per la risposta, so che la domanda era un po 'ridicola. Ora sono su Windows 10 ma mi sto muovendo verso Linux per tutte le mie esigenze di sviluppo.
JonathonG,

Ho aggiornato il mio post e modificato alcune delle mie idee sbagliate.
Aaron,

1
A partire dalle statistiche inventate (la maggior parte dei virus è prodotta da adolescenti con VB). Continuando con la spazzatura casuale (NTFS "fantastico", flussi di dati alternativi). Finitura con informazioni non necessarie (la maggior parte dei virus sono fatti per Windows). Niente di tutto questo risponde alla domanda: come posso essere sicuro di non avere un virus nonostante gli scanner mi abbiano dato un'idea chiara? "La miglior difesa è la conoscenza" ... questo è ciò che è stato chiesto di un chiaramente non fornito qui ...
WernerCD,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.