Risoluzione dei problemi per individuare eventuali file infetti se non viene rilevato un virus
Articoli tecnici ID:
KB53094
Ultima modifica: 2022-10-03 18:34:19 Etc/GMT
Ambiente
Tutti i prodotti antivirus per desktop e server di Trellix per Microsoft Windows
Riepilogo
In questo articolo vengono descritte le procedure e i percorsi che consentono di individuare i file sospetti quando l'infezione non viene rilevata dai prodotti antivirus.
I possibili sintomi includono:
Comportamento sospetto del computer, ad esempio utilizzo elevato della CPU nei processi non riconosciuti
Maggiore traffico di rete o utilizzo della larghezza di banda
Nuovi servizi aggiunti o servizi esistenti rimossi
Impossibile accedere alle risorse di rete, ad esempio le unità condivise
Le applicazioni smettono di funzionare o i file non sono accessibili
Aggiunta di chiavi di registro impreviste
Internet Explorer pagina iniziale modificata senza autorizzazione
IMPORTANTE: A causa dell'ampia varietà di malware e di altre minacce, non siamo in grado di fornire un elenco di tutti i possibili sintomi di infezione. Se si sospetta che il sistema sia infetto e che i sintomi specifici non siano elencati, è comunque necessario adottare tutte le precauzioni disponibili. Assicurarsi che i file DAT siano aggiornati ed eseguire una scansione su richiesta o una scansioni della riga di comando del sistema. Se l'infezione non viene rilevata, seguire le procedure riportate in questo articolo per raccogliere esempi di file sospetti e inviarli a Trellix Labs.
In questo articolo sono inclusi i riferimenti ad alcuni strumenti di terze parti. Per istruzioni sull'utilizzo, si consiglia di utilizzare i file della Guida in linea per i prodotti di terze parti.
Contenuto:
Fare clic per espandere la sezione che si desidera visualizzare:
Assicuratevi di utilizzare i file DAT e del motore più recenti
Scaricare il file DAT e il motore correnti dal sito Web degli aggiornamenti della protezione:
Ottenere gli aggiornamenti di sicurezza più recenti:
Determinare quale aggiornamento o hotfix è installato. Il modo per determinare varia da prodotto a prodotto, ma i metodi tipici includono:
Fare clic con il pulsante destro del mouse sull'icona del prodotto nell'area di notifica e selezionare informazioni su.
Aprire la console del prodotto e selezionare Guidain linea, informazioni su.
Alcuni prodotti richiedono un comando console per determinare se è installato un aggiornamento. Consultare la documentazione del prodotto pertinente.
Scaricare e installare l'aggiornamento del prodotto più recente. Potrebbe essere necessaria una combinazione di un aggiornamento del prodotto, di DAT e di un aggiornamento del motore per rispostare un virus.
Il software del prodotto, gli upgrade, le release di manutenzione e la documentazione sono disponibili sul sito di download dei prodotti.
Gli hotfix sono stati creati per risolvere problemi specifici e la loro disponibilità non è pubblica. Per reperirli, è necessario contattare l'assistenza tecnica.
Se si è utenti registrati, digitare l'ID utente e la password, quindi fare clic su accesso.
Se non si è utenti registrati, fare clic su registra e completare i campi per inviare via email i password e le istruzioni.
Installazione di Microsoft aggiornamenti di sicurezza
Installare gli aggiornamenti di sicurezza più recenti Microsoft per evitare exploit di vulnerabilità della sicurezza. Assicurarsi che gli aggiornamenti e le correzioni più recenti siano scaricati e installati. È possibile configurare Windows per eseguire automaticamente queste azioni.
Configurazione dei prodotti per la scansione
Verificare di aver configurato i programmi di scansione all'accesso e su richiesta per:
Nota: Alcune di queste opzioni sono disponibili solo in VirusScan Enterprise. Per informazioni dettagliate e istruzioni, consultare la guida del prodotto relativa al prodotto.
Esecuzione di una scansione su richiesta con tutte le impostazioni di scansione attivate
Eseguire una scansione su richiesta completa di tutti i file con l'azione primaria impostata su Pulisci. Per informazioni dettagliate sulla configurazione di una scansione su richiesta, consultare la guida del prodotto relativa al prodotto. Per VirusScan Enterprise, fare clic su Avvia, Programmi, McAfee, Scansione su richiesta, Avvia.
Esegui scansione .exe con i file dat beta più recenti
Se la scansione su richiesta e i file DAT standard non rilevano l'infezione, potrebbero essere rilevati con le firme aggiuntive nei file DAT beta.
Automaticamente (utilizzando l'eseguibile del file SuperDAT più recente):
Avvia avvwin_xdatbeta.exe sul computer infetto. L'eseguibile Aggiorna tutti i prodotti che utilizzano i file DAT.
Al termine dell'aggiornamento, eseguire una scansione su richiesta su tutte le unità o i database a seconda del prodotto.
Manualmente (utilizzando il file DAT più recente):
Per aggiornare manualmente i file DAT del prodotto, consultare l'articolo pertinente per istruzioni.
Se la scansione su richiesta non riesce ancora a rilevare eventuali minacce:
Cerca i file di configurazione Windows per eventuali voci sospette.
Eseguire una ricerca nel gruppo programmi di avvio per tutti gli elementi o le applicazioni che non si riconoscono.
Verificare le posizioni comuni del registro di sistema per le voci sospette.
Utilizzare Esplora risorse per controllare i percorsi di directory comuni per i file dannosi.
Controllare l'utilità di pianificazione Windows per le voci che non si riconoscono.
Utilizzare altri strumenti di Trellix e di terze parti per individuare attività dannose.
Individuare i file sospetti
Le cartelle di avvio e i percorsi del registro di sistema sono probabilmente contenenti voci sospette. Esaminare i percorsi riportati di seguito.
ATTENZIONE Questo articolo contiene informazioni sull'apertura o sulla modifica del registro di sistema.
Le informazioni riportate di seguito sono destinate agli amministratori di sistema. Le modifiche del registro di sistema sono irreversibili e possono causare errori di sistema se non effettuate in modo adeguato.
Non eseguire un file REG non indicato esplicitamente come file di importazione del registro autentico.
File di configurazione del sistema:
Win.ini
Questo file è stato utilizzato dalle versioni precedenti di Windows e utilizzato durante l'avvio del sistema. Con Windows 7 e versioni successive, i dettagli memorizzati in questo file vengono ora inseriti nel registro di sistema.
System.ini
Questo file è un file di inizializzazione Windows utilizzato principalmente con le versioni precedenti di Windows. Tuttavia, questo file INI viene ancora utilizzato per garantire la compatibilità con le versioni successive di Windows.
Autoexec.bat
Questo file viene utilizzato durante l'avvio del sistema e mantenuto nelle versioni successive di Windows per garantire la compatibilità con la versione precedente. Viene memorizzato nella directory principale dell'unità di sistema. Questo file batch esegue i comandi all'avvio.
Config.sys Questo file è un file di testo ASCII legacy Windows che conteneva le direttive di configurazione a cui è possibile accedere utilizzando msconfig .
Per visualizzare la configurazione dei sistemi utilizzando msconfig :
Premere Windows + R, digitare msconfig e premere INVIO.
Esaminare il Elementi di avvio scheda.
Esaminare il win.inie system.inivoci.
Gruppo di avvio
Quando si esaminano le cartelle, modificare la visualizzazione in Dettaglie utilizzare il Data di creazione colonna per disporre i file:
\documents and settings\all users\Start Menu\Programs\Startup
C:\
%windir%\
%windir%\system32\
%windir%\system32\drivers
%windir%\system32\dllcache
%windir%\SysWOW64\
%TEMP%
%ALLUSERSPROFILE%\Start Menu\Programs\Startup
%userprofile%\local settings\temp
%userprofile%\application data
%userprofile%\local settings\application data
C:\Program Files\
C:\temp
C:\Recycler
C:\Documents and Settings
Analisi del registro di sistema per attività sospette o malware
Per informazioni dettagliate sulle utilità a cui si fa riferimento nei passaggi riportati di seguito, consultare KB72766-utilità utilizzate per la risoluzione dei problemi.
Utilizzare IceSword Rootkit Detector per analizzare il registro di sistema.
Fare clic su Start, McAfee, scansione su richiesta, avviare per eseguire una scansione su richiesta.
Se la scansione su richiesta non rileva una minaccia, utilizzare la FPorte Vision utilitàper monitorare le attività. NOTA: Le seguenti utilità di terze parti possono essere utili anche per registrare attività di file dannosi:
Process Explorer
TCPView
ProcMon
Autoruns
RootkitRevealer
Raccogliere campioni sospetti. Raccogliere in un'unica posizione tutti i file o i metodi elencati sopra che si ritiene indichino che un file è sospetto. Assicurarsi che tutti i file di esempio siano inclusi in un unico file password protetto .zip . Impostare il password su infetto. Inviare esempi a Trellix Labs. Caricare il campione tramite il portale ServicePortal o Platinum. Per istruzioni, consultare l'articolo kb68030-inviare campioni a Trellix Labs per il sospetto malware errore di rilevamento. Raccogli e invia i risultati dello strumento Minimum escalation requirements (MER) per i tuoi prodotti: Esegui lo strumento MER per i tuoi prodotti. Per informazioni dettagliate sull'elenco degli strumenti MER per i prodotti di sicurezza, consultare l'articolo kb59385-come utilizzare gli strumenti Mer con i prodotti supportati. Fornire il file dei risultati .tgz quando si contatta assistenza tecnica.
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.