Sicurezza e manutenzione di Windows

Da oggi presenterò alcuni software (tutti gratuiti) che uso abitualmente, scelti in base all'esperienza personale e ai pareri degli esperti. Questo non vuol dire necessariamente che siano il meglio in tutto e per tutto, per cui se conoscete delle valide alternative, segnalatele.

EPISODIO I: PREVENZIONE IN TEMPO REALE CONTRO IL MALWARE

Il malware è tutto ciò che è stato concepito allo scopo di causare danni oppure invadere la privacy di un PC. E' una categoria molto ampia, per cui rimando chi fosse interessato ad approfondire l'argomento alla classificazione presente in [Devi essere iscritto e connesso per vedere questo link].

L'ANTIVIRUS: AVAST!

Nonostante tra gli antivirus gratuiti non sia il migliore in termini di "[Devi essere iscritto e connesso per vedere questo link]" e questo titolo spetti ad Avira, Avast! offre più funzioni in tempo reale (web shield, behaviour blocker), la "Modalità silenziosa/gioco" (che "zittisce" i pop-up dell'antivirus senza disattivare la protezione) e soprattutto la "Scansione all'avvio", uno strumento che ritengo indispensabile.
Questa funzionalità lancia una scansione prima dell'avvio del sistema operativo, permettendo di sradicare eventuali eseguibili dannosi che partono in background e non possono essere rimossi in altro modo (tranne, in certi casi, manualmente da Modalità Provvisoria - vero, errex? ).

IL FIREWALL: COMODO

Il personal firewall si occupa di controllare le comunicazioni in entrata ed uscita dal PC, vietando quelle potenzialmente dannose. Comodo è considerato da molti il [Devi essere iscritto e connesso per vedere questo link], detta anche [Devi essere iscritto e connesso per vedere questo link]. In realtà Comodo è una suite completa di antivirus, ma il mio consiglio è quello di togliere la spunta da esso in fase d'installazione, perchè Avast! gli è superiore (e due antivirus nello stesso sistema tendono a pestarsi i piedi).

Oltre che per l'eccellente modulo HIPS (Defense+), Comodo si fa apprezzare per le possibilità di personalizzazione (provate un clic destro sull'icona del firewall presente nella tray), la presenza della Modalità Gioco (che funziona esattamente come quella di Avast!) e la possibilità di isolare potenziali applicazioni pericolose tramite [Devi essere iscritto e connesso per vedere questo link].

DrDivago, 2011

Nulla da eccepire sulla qualità dei due strumenti presentati da DrD*: la scelta tra Avast o Avira comporterà in qualsiasi caso quella di avere installato un ottimo AV Free sul proprio PC, senza parlare di Comodo vera e propria perla nel mondo dei firewall software.

Discorso particolare meritano prodotti un po' più specializzati per la detection e rimozione di particolare famiglie di malware, come rootkit e rogue, quali il gratuito [Devi essere iscritto e connesso per vedere questo link] e, a pagamento il valido [Devi essere iscritto e connesso per vedere questo link] , a mio parere, entrambi altamente consigliati.

Avast & Comodo : lo stesso binomio che utilizzo anche io da tempo

Certificato di Qualità Neytiri : bollino... BLU, naturalmente

Konrad63 ha scritto:

Discorso particolare meritano prodotti un po' più specializzati per la detection e rimozione di particolare famiglie di malware, come rootkit e rogue, quali il gratuito [Devi essere iscritto e connesso per vedere questo link] e, a pagamento il valido [Devi essere iscritto e connesso per vedere questo link] , a mio parere, entrambi altamente consigliati.

MBAM (insieme ad altri programmetti di scansione on-demand) sarà il protagonista del prossimo "Episodio"...

EPISODIO II: GLI SPAZZINI DEL PC

Per quanto si possa cercare di stare attenti, purtroppo Windows ha il brutto vizio di "riempirsi di schifezze" e diventare sempre più lento. L'impiego combinato dei programmi seguenti aiuta a mantenerlo in ordine e ad evitare sovraccarichi di memoria (sia in termini di impiego dell'HD che di RAM).

DISINSTALLARE PROGRAMMI NON NECESSARI: REVO UNINSTALLER

Revo funziona in modo simile ad "Installazione applicazioni" ("Disinstallare un programma" nel Pannello di Controllo di 7): il doppio clic fa partire la procedura di disinstallazione del programma selezionato.
Ma prima di avviare il disinstallatore del programma, Revo ci propone la seguente finestra.

A seconda della nostra scelta, al termine della procedura standard (prima della quale verrà creato un punto di ripristino del sistema), Revo cercherà le tracce del programma nel disco fisso e nel Registro di Sistema. Per eliminarle, occorrerà selezionare tutti gli elementi (tramite il pulsante apposito) e cliccare su Cancella.

ELIMINARE I FILE TEMPORANEI: CCLEANER

Windows (e molti suoi programmi) creano una miriade di "spazzatura" che col tempo finisce per occupare anche GB di spazio. CCleaner permette un'alta personalizzazione del processo di pulizia, consentendo di scegliere nel dettaglio cosa eliminare. Nella scheda "Applicazioni" appaiono opzioni relative anche a software di terze parti (come Mozilla Firefox)

Inoltre sono presenti un efficace tool di pulizia del Registro di Sistema (con tanto di creazione di backup preventivi prima degli interventi) ed altri comodi strumenti che permettono di disinstallare o rimuovere applicazioni dall'avvio automatico (niente di più di quanto già offerto dal sistema operativo comunque).
Una valida alternativa/complemento a CCleaner è [Devi essere iscritto e connesso per vedere questo link], che offre qualche funzione in più (tra cui deframmentazione del Registro di Sistema, possibilità di impostare l'avvio ritardato di applicazioni in background, pulizia in tempo reale della RAM), ma è meno preciso efficace nelle funzioni di pulizia di cui sopra.

GESTIONE AVANZATA DEGLI AVVII AUTOMATICI: AUTORUNS

Sconsigliato assolutamente a chi non ha un po' di dimestichezza (eliminare determinate voci può incasinare il sistema operativo), [Devi essere iscritto e connesso per vedere questo link] è un piccolo tool che non richiede installazione (quindi può essere un valido strumento portable da mettere in chiavetta USB) e permette di vedere sin nei minimi dettagli tutto ciò che parte all'avvio di Windows, classificandolo minuziosamente per categorie.

© DrDivago, 2011

EPISODIO III: SCANSIONI ON-DEMAND CON STRUMENTI SPECIFICI

Nonostante tutto, l'accopiata antivirus-firewall non è in grado di intercettare tutto il malware che si può ricevere da internet, motivo per cui è necessario ripulire il sistema periodicamente con qualche strumento specifico. Il mio consiglio è di usare, uno dietro l'altro, tutti i programmi che seguono.

MALWAREBYTES ANTI-MALWARE

MBAM, a dispetto dell'interfaccia spartana, è uno strumento aggiornato molto spesso, leggero ed efficace contro virus, spyware, adware, trojan, dialer, worm e rootkit. Scansiona sia il disco fisso che il registro di sistema, con buonissime percentuali di rilevamento e possibilità di compiere scansione rapida o completa (consigliata, ma può richiedere ore) a seconda delle esigenze.

SUPERANTYSPYWARE

Molto simile a MBAM (meglio nella categoria degli spyware, forse leggermente inferiore in alcune delle altre), anche questo programma offre diversi tipi di scansione e una discreta personalizzazione delle opzioni.

GMER

Specialista contro i rootkit (i malware che riescono ad annidarsi in profondità nel sistema operativo, tanto da riuscire a spacciarsi per driver/processi di sistema, risultando non rilevabili da un comune antivirus), GMER è un semplice .exe che ha l'unico difetto di essere adatto ad utenti esperti, dato che è facile che restituisca falsi positivi (tutti gli elementi potenzialmente dannosi sono evidenziati in rosso). Per il suo utilizzo rimando a [Devi essere iscritto e connesso per vedere questo link] guida.

© DrDivago, 2011

Come va Comodo attualmente? Io l'ho provato ca un anno e mezzo fa ma mi aveva azzoppato il PC.

con Comodo (lo uso da un paio d'anni circa) non ho mai avuto problemi...

cosa intendi con "azzoppato il PC"? sii più preciso...

Consiglio vivamente anche Spybot Search and Destroy come Anti-malware e io sinceramente mi son sempre trovato meglio con Avira rispetto ad Avast (quando ero ancora sul mondo win )

Ottima segnalazione, lo usavo anch'io tempo fa... tra l'altro adesso è appena uscita la beta della versione 2, che include alcune nuove ed interessanti funzionalità

DrDivago ha scritto:

con Comodo (lo uso da un paio d'anni circa) non ho mai avuto problemi...

cosa intendi con "azzoppato il PC"? sii più preciso...

Con "azzoppato" intendo dire che attivando tutte le funzionalità (incluso l'antivirus) il PC era tre volte più lento di prima a completare il boot e a presentare il desktop dopo il login utente. Era diventato estremamente macchinoso anche l'avvio del browser, della navigazione, ecc. ecc.
Tu hai abilitato tutte le funzionalità di Comodo? Hai provato ad usarlo anche con il suo antivirus?

L'antivirus di Comodo è assolutamente mediocre, mi orienterei sulle scelte già citate

wbtit ha scritto:

Con "azzoppato" intendo dire che attivando tutte le funzionalità (incluso l'antivirus) il PC era tre volte più lento di prima a completare il boot e a presentare il desktop dopo il login utente. Era diventato estremamente macchinoso anche l'avvio del browser, della navigazione, ecc. ecc.
Tu hai abilitato tutte le funzionalità di Comodo? Hai provato ad usarlo anche con il suo antivirus?

Come già detto anche da Konrad, Comodo è un ottimo firewall, ma altrettanto non si può dire dell'antivirus, motivo per cui, in fase d'installazione, conviene togliere la spunta dal modulo antivirus e usarne un altro.

Ma soprattutto non avere due antivirus attivi in contemporanea.. ad esempio quelli di Comodo ed Avast...

DrDivago ha scritto:

Come già detto anche da Konrad, Comodo è un ottimo firewall, ma altrettanto non si può dire dell'antivirus, motivo per cui, in fase d'installazione, conviene togliere la spunta dal modulo antivirus e usarne un altro.

Allora è giunta l'ora di fare un test con l'ultima release.

EPISODIO IV: SISTEMA INFETTO? NIENTE PANICO!

Fin qui sostanzialmente mi sono occupato della prevenzione, ma come comportarsi quando un virus ha compromesso seriamente la stabilità e la sicurezza di Windows, tanto da rendere impotente l'antivirus? Propongo la mia procedura standard (affinata dopo che ho avuto a che fare con quella carogna di Bagle), fermo restando che il punto 3., a seconda delle circostanze, può venire prima degli altri e che, se l'antivirus è comunque in grado di rilevare il tipo specifico di malware, una ricerca sul web spesso permette di scoprire come debellarlo.

1. MODALITA' PROVVISORIA

Dato che la maggior parte dei virus si annidano fra i servizi/programmi che partono in background all'avvio del sistema, immunizzandosi contro la loro cancellazione, la prima cosa da fare è riavviare Windows in modalità provvisoria, che è una configurazione in cui vengono caricati solo i servizi essenziali del sistema. Ad essa si può accedere premendo F8 non appena scompare il logo del produttore del computer all'avvio della macchina e selezionandola (meglio la variante senza rete per evitare che il malware possa scaricarsi rinforzi dal web) nel menù testuale che appare.

Entrati nella tetra (a causa dello sfondo nero) modalità provvisoria, lanciare tutti gli strumenti anti-malware di cui si dispone (vedere punto 2).

2. KIT DI STRUMENTI ANTIMALWARE DA TENERE DENTRO UNA USB KEY

Ovviamente aggiornati alle versioni più recenti, tramite un'altra macchina non infetta:
- Malwarebytes (versione portable)
- Superantispyware (versione portable)
- GMER
- ComboFix ( [Devi essere iscritto e connesso per vedere questo link] ): procedura automatica che fa riavviare il sistema, cancellando i rootkit
- The Avenger ( [Devi essere iscritto e connesso per vedere questo link] ): spazzino programmabile mediante script (se ne trovano di già pronti in rete, cercando lo specifico virus)
- Emsisoft Emergency Kit ( [Devi essere iscritto e connesso per vedere questo link] ): multifunzione.

Dato che certi virus potrebbero immunizzarsi contro questi strumenti, impedendo anche in modalità provvisoria la loro attivazione, uno stratagemma è quello di rinominare gli .exe che lanciano i programmi.

3. RESCUE CD

Se il sistema operativo non parte, o tutti i programmi elencati in precedenza sono inefficaci (può accadere che un rootkit riesca ad annidarsi persino dentro la modalità provvisoria), provare a riavviare il PC con inserito uno dei seguenti dischi (tra parentesi i link da cui scaricare i file immagine .iso da masterizzare su CD):
- Avira Rescue System ( [Devi essere iscritto e connesso per vedere questo link] )
- Kaspersky Rescue Disk ( [Devi essere iscritto e connesso per vedere questo link] ).
Sono entrambi dei Live CD, ovvero dei software che partono prima dell'avvio di Windows, permettono di scansionare i dischi fissi al di fuori del sistema operativo.

4. FORMATTARE L'HARD DISK

L'unico metodo efficace al 100%, previo salvataggio dei dati (se non si ha una copia di backup e Windows non parte, usare un qualsiasi Live CD di una distribuzione Linux per accedere al disco fisso e copiarsi i dati su supporto esterno USB).

© DrDivago, 2011

Installato Avast+comodo firewall e sembra tutto ok.
Ho provato il vecchio test Finjan (http://www.m86security.com/labs/test-your-secure-web-gateway-policy.asp) con IE e l'Avast ha correttamente identificato il test Eicar e il test "Denial of Service (DoS)". Gli altri sono stati fermati direttamente da IE9 mentre il test JavaApplett (usando Chrome e Firefox perché IE9 andava in crash) è passato riuscendo a scrivere su c:\finjan\.... .
Ho provato la modalità sandbox di Comodo con Firefox e IE9 ma entrambi si bloccano appena si tenta di eseguire un'applet Java.

prova con Opera e vedrai che anche il test Java Applet risulterà "verde"...

DrDivago ha scritto:

prova con Opera e vedrai che anche il test Java Applet risulterà "verde"...

Lo blocca Opera o Avast!/Comodo. L'unico Opera browser che uso è quello della Wii per il resto Firefox mi basta e avanza . Tu sei riuscito ad usare la sandbox di Comodo?

Nel test di prima è sicuramente Opera a bloccarlo, perchè anche l'accoppiata Avira/Comodo con IE fa cilecca...

Ammetto che la sandbox di Comodo non l'ho mai usata, però ho appena trovato un'altra soluzione: se tu avvii IE dentro Sandboxie ( [Devi essere iscritto e connesso per vedere questo link] ), nonostante ti dica che il test JavaApplet è fallito, il disco C: non viene scritto... provare per credere!

Sandboxie l'avevo già provato ed è un ottimo prodotto da usare in casi..., ci siamo capiti!
La sandbox di Comodo però dovrebbe essere più orientata alla sicurezza (tipo per testare leaktest) caso mai se ti capitasse di trovare il modo per farla funzionare fammi sapere.
En passant complimenti per tutto il lavoro fatto fin'ora ora, adesso proseguo i test con nmap vs Comodo.
Ciao!

DrMalwarebytes' - AntiM

grazie per il suggerimento: funziona egregiamente

DrMalwarebytes'

...vero che funziona egregiamente ... ma mi sono accorto che fa lo stesso identico lavoro di MSE (versione 2011) , per altro con l' identica tempistica.
Unica eccezione: blocca alcuni siti web con i quali non ho mai avuto problemi (tra l' altro un paio da cui rilevo tutte le entry lists dei tornei) , costringendomi a disattivare la funzione "Blocca siti web".
Da quanto mi dicono , MS Essentials ha fatto grossi passi avanti nell' ultimo anno, ed e' stato messo a punto proprio in vista del travaso di utenti da Vista e precedenti a W 7 Professional.
A questo punto, MSE sembra essere una valida alternativa!? Puoi provare a verificare ?
Grazie
R

PS: ricordati che sono un utente "normale" quindi non esprimerti in "politichese"

La seconda versione di MSE è in netta crescita rispetto alla prima, tant'è che l'antivirus ottiene dei discreti risultati in termini di detection rate ed un basso numero di falsi positivi. Nota dolente, la velocità di scansione.

[Devi essere iscritto e connesso per vedere questo link]

Grazie DrAntivirus