Ciao ragazzi
ho un maledetto problema al portatile. credo mi si sia annidato del malaware e non riesco a toglierlo.
mi reindirizza il browser dove vuole lui. mi crea difficoltà a trovare alcune pagine (credo sia lui). ho eset antivirus ma nulla: eset mi blocca l'apertura della pagina quando il virus entra in funzione, mi dice threat found virus bloccato e computer protetto .... ma io non vedo la pagina !! e poi il problema si ripresenta ... altro che problema risolto dall'antivirus
CHE FACCIO ?? non riesco a toglierlo neanche con malawarebytes ecc ...

mi date u consiglio o dovrò reinstallare tutto .... nooooo ....

vedete allegato per esempio di quanto succede ..

Ciao ragazzi
ho un maledetto problema al portatile. credo mi si sia annidato del malaware e non riesco a toglierlo.
mi reindirizza il browser dove vuole lui. mi crea difficoltà a trovare alcune pagine (credo sia lui). ho eset antivirus ma nulla: eset mi blocca l'apertura della pagina quando il virus entra in funzione, mi dice threat found virus bloccato e computer protetto .... ma io non vedo la pagina !! e poi il problema si ripresenta ... altro che problema risolto dall'antivirus
CHE FACCIO ?? non riesco a toglierlo neanche con malawarebytes ecc ...

mi date u consiglio o dovrò reinstallare tutto .... nooooo ....

vedete allegato per esempio di quanto succede ..


ECCO ANCORA QUESTO MALWARE con questa segnalazione:

Threat found
Access to the web page was blocked.
http://cobalten.com/afu.php?zoneid=1806838

Threat: JS/Adware.Agent.AA application

dove scovo quella maledetta applicazione per distruggerla ??
come la trovo che non la vedo ???
aiutoooo

NB: ora sto lavorando da altr portatile nella stessa rete locale collegato allo stesso router. HO gli stessi identici problemi. O ho infettato entrambi i pc oppure il problema non è sui portatili. POSSIBILE ?

grazie x la risposta
ecco …. spero sia questa la lista che dicevi (allegata)…. non so se sia il log che mi dicevi, spero di sì

ora provo a vedere le altre indicazioni

NB: nella rete locale, oltre ai 2 portatili wireless, ho anche altri 2 pc fissi collegati via cavo. anche loro hanno lo stesso identico problema. pensando che potesse centrare il router l'ho resettato alle impostazioni di fabbrica … ma non è cambiato nulla.

Ciao. Per prima cosa toccherà creare una lista dei programmi installati:

Poi segui le indicazioni che ho già dato qui (l'infezione è diversa ma il risultato finale è simile)…
https://www.hwupgrade.it/forum/showpost.php?p=45700005&postcount=2
...e posta il log di hijackthis.

Eccomi.
Segnalo che il reset del router l'avevo già fatto ma senza staccarlo da internet e attraverso l'interfaccia browser. non se sia necessario staccarlo pure e se l'effetto sarà diverso scollegandolo e poi facendo il reset dal pulsantino.

DNS: non mi accorgo se cambiano. li avevo già settati su quelli di google 8 8 8 8 e 8 8 4 4 e sono ancora quelli. non ho idea se ci sia stato un cambio e ripristino ogni volta che si manifesta il problema.

allego ora anche il log di HiJackThis zippato altrimenti è grande x l'upload

forse ho fatto un passo giusto...

i dns a cui mi riferivo non erano quelli del router ! erano quelli delle schede di rete in windows (di ethernet e wifi) ==> ecco perchè non era cambiato nulla, credo.

ora ho invece resettato il router e sono andato a mettere i dns di google sulla wan e sul wifi. ora non m isi dirotta più ... mi pare per un po'.

non so però quel cavolo di virus se c'è amcora o se tornerà. non vedo nessuno che lo abbia disntallato. come si fa a sapere cosa era veramente per evitare che si ripresenti ??
ciao

Mamma mia !
C'è un sacco di lavoro da fare.... comincerò stasera. Sono al lavoro.
Certo che gli antivirus servono a poco se c'è tutto questo.....
Grazie

[QUOTE=Phoenix2005;rWindows in modalità normale ed esegui nuovamente la scansione con HiJackThis e posta il log aggiornato.[/QUOTE]

CIAO,
ecco, ho provato a fare tutto. solo qualche programma non l'ho trovato nella lista di wise uninstaller. riallego il log di hijachthis fatto dopo le operazioni.

Domanda: non devo ricollegare il pc"lavorato" alla rete lan e al router fino a che non ho fatto le stesse operazioni su tutti gli altri ... o posso usarlo nel frattempo ?

ri-grazie nel frattempo....

Di nulla, figurati...buona derattizzazione! :D

-----

Ammazza.... grazie ancora.
Qui mi hai dato da lavorare per un mese. Nella lan ci sono almeno 3 portatili, 3 fissi e un numero imprecisato di dispositivi android tra smartphone (almeno 4/5) e tablet (almeno 3/4).

A proposito altumine 2 cose:

1- e i dispositivi android come entrano in tutto questo ?

2- magari centrava anche questo: ho dovuto cambiare in coincidenza di tutto questo il router che era anche una bella bestia: netgear Nighthawk D8500. capitava che un volta spento all'improvviso x mancanza di corrente non riuscisse proprio più a riattivarsi, neanche con reset, ed assegnare gli ip della lan e del wifi. capitato 2 volte. dopo essere stato spento per 10 gg ci è riuscto. poi ancora via la corrente .... non si è più ripreso.. sostituito in garanzia .... magari era craccato xchè provava in continuazione a riavviarsi ma senza riuscire ad avere un fuunzionamento normale. ora arriverà tra una decina di giorni il nuovo. non sembrava problema elettrico. vediamo un po'. CIAO

Ok ci provo e se qualche passaggio nn lo capirò benone ... ridisturbo. In ogni caso aggiorno il post.
Ciao e 1000 grazie

[QUOTE=Phoenix2005;45703576]
Dopo aver selezionato le suddette voci esegui la pulizia tramite il pulsante FIX CHECKED; riavvia Windows, esegui ancora HiJackThis e posta il nuovo log.

Posta anche gli eventuali messaggi di errore durante la fase di caricamento di Windows, se (speriamo di no) dovessero comparire quale conseguenza della pulizia del sistema.

ALLORA ....
ecco il log POST lavori. non ho idea se quei virus ci siano ancora.
no errori ricaricando. non collegato pc alla rete per ora. sto utilizzando altro portatile che da quando ho settato i dns del router ... funziona senza enomalie evidentemente covando da qualche parte quelle infezioni.

Prova, cos'hai da perdere? O tenti la strada della pulizia o formatti, alternative non ve ne sono...e fra le due opzioni quella più veloce passa per il FIX via HiJackThis. E, se la bonifica avrà successo, probabilmente noterai un aumento della reattività e stabilità delle singole postazioni perché verranno rimosse non solo le restanti tracce dell'infezione ma anche tutti quei processi e task che lavorano inutilmente in background, sottraendo al sistema risorse utili ed utilizzabili in altro modo. Se poi - durante la successiva fase di boot post-pulizia - dovessero verificarsi delle anomalie dovute alla rimozione di uno o più elementi, c'è la possibilità di rimediare al problema eseguendo, sempre via HiJackThis, un undo sugli elementi precedentemente rimossi.

Inizia con il portatile della Lenovo: ti rammento soltanto che le procedure di pulizia - riavvi di Windows compresi - vanno effettuate rigorosamente offline (sia internet che intranet).



beh
... ok ecco qui i log di altro pc della rete lan wifi. che ne dici ? messo male ?

[QUOTE=Phoenix2005;45706089] servizi della Conexant (che al limite puoi lasciare così), mentre le voci qui sotto andrebbero selezionate per l'eliminazione sempre via HiJackThis (modalità provvisoria):

non li avevo selezionati xchè i trovo nel log come "Service S2" .... e non "service R2" ==> ora li fucilo lo stesso.

[QUOTE=Phoenix2005;45706089] le voci qui sotto andrebbero selezionate per l'eliminazione sempre via HiJackThis (modalità provvisoria):

O22 - Task (Job): (disabled) (Not scheduled) CreateExplorerShellUnelevatedTask.job - C:\WINDOWS\explorer.exe /NOUACCHECK
O23 - Service R2: Wondershare Application Framework Service - (WsAppService) - C:\Program Files (x86)\Wondershare\WAF\2.4.3.237\WsAppService.exe
O23 - Service R2: Wondershare Driver Install Service - (WsDrvInst) - C:\Program Files (x86)\Wondershare\drfone\Library\DriverInstaller\DriverInstall.exe

ora trovo anche quel 022 task (job) ..... e lo elimino
nel nuovo logo mi sono riapparsi una serie di altri 022 Task Lenovo che rielimino. xchè rinascono ?

..............

Una volta eseguita la pulizia, subito dopo il riavvio procedi con EEK...
https://www.emsisoft.com/en/software/eek/
...aggiorna il DB delle firme virali ed esegui una scansione AV su tutte le unità di tutti gli SSD/HD dei vari PC ed elimina le eventuali minacce rilevate.

questo potrebbe essere un problema. non lo collego in rete quello pulito. possibile fare tramite altro pc lo scaricamento del database aggiornato ?

.......................

Ad occhio direi che, a parte SpyHunter4 e Wondershare, questo secondo PC è messo decisamente meglio rispetto all'altro...

DA DISINSTALLARE

Google Update Helper Google Inc. 1.3.33.17 15/08/2018 82,0 KB
Host esperienza dello Store Microsoft Corporation C:\Program Files\WindowsApps\Microsoft.StorePurchaseApp_11807.1001.1.0_x64__8wekyb3d8bbwe 11807.1001.0.1 03/08/2018 6,5 MB
Hub di Feedback Microsoft Corporation C:\Program Files\WindowsApps\Microsoft.WindowsFeedbackHub_1.1712.1141.0_x64__8wekyb3d8bbwe 1.1712.0.1141 04/05/2018 34,2 MB
Java Auto Updater Oracle Corporation 2.8.171.11 01/07/2018 1,8 MB
Mozilla Maintenance Service Mozilla C:\Program Files (x86)\Mozilla Maintenance Service\ 52.9.1.6764 06/08/2017 261,0 KB
SpyHunter4 C:\Program Files\SpyHunter\ 28/01/2018 225,2 MB
Wondershare Helper Compact 2.5.2 Wondershare C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\ 2.5.2 15/08/2017 6,6 MB
Wondershare PDF to PowerPoint (Build 4.0.1) Wondershare Software D:\Program Files (x86)\Wondershare\PDF to PowerPoint\ 4.0.1 11/02/2018 23,5 MB
Wondershare PDFelement 6 Pro(Build 6.2.2) Wondershare Software Co.,Ltd. C:\Program Files (x86)\Wondershare\PDFelement 6 Pro\ 6.2.2.2615 15/08/2017 92,5 MB

DA AGGIORNARE (con OS = W7/W8/W10)

VERSIONE 60.x ---> Mozilla Thunderbird 52.9.1 (x86 it) Mozilla C:\Program Files (x86)\Mozilla Thunderbird 52.9.1 04/04/2018 90,6 MB
VERSIONE 4.12 o superiore --> qBittorrent 4.0.4 The qBittorrent project C:\Program Files\qBittorrent\ 4.0.4 28/04/2018 109,9 MB

DA DISINSTALLARE SE NON UTILIZZATI

Adobe Acrobat Reader DC - Italiano Adobe Systems Incorporated C:\Program Files (x86)\Adobe\Acrobat Reader DC\ 18.011.20058 15/08/2018 258,6 MB
Adobe Refresh Manager Adobe Systems Incorporated C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\ 1.8.0 01/03/2018 1,6 MB
Advanced IP Scanner 2.5 Famatech C:\Program Files (x86)\Advanced IP Scanner\ 2.5.3233 06/08/2017 43,9 MB
ASUS Smart Gesture ASUS 4.0.18 16/12/2017 108,8 MB
Autodesk SketchBook Autodesk Inc. C:\Program Files\WindowsApps\89006A2E.AutodeskSketchBook_1.8.1.0_x64__tf1gferkr813w 1.8.0.1 15/05/2018 70,5 MB
Backup and Sync from Google Google, Inc. 3.42.9858.3671 15/08/2018 57,0 MB
CodeTwo QR Code Desktop Reader & Generator CodeTwo 1.1.1.17 05/09/2017 5,0 MB
CPUID CPU-Z 1.83 CPUID, Inc. D:\Program Files\CPUID\CPU-Z\ 1.83 28/01/2018 4,1 MB
EaseUS MobiSaver for Android version 5.0 CHENGDU YIWO Tech Development Co., Ltd. D:\Program Files (x86)\EaseUS\EaseUS MobiSaver for Android\ 5.0 23/10/2017 54,8 MB
FILEminimizer Pictures balesio AG d:\Program Files (x86)\FILEminimizer Pictures\ 18/02/2018 4,1 MB
Foxit Advanced PDF Editor 3 Foxit Corporation C:\Program Files (x86)\Foxit Software\Foxit Advanced PDF Editor\ 3.0.5.0 02/09/2017 66,0 MB
Google Chrome Google Inc. C:\Program Files (x86)\Google\Chrome\Application 68.0.3440.106 06/08/2017 353,5 MB
Groove Musica Microsoft Corporation C:\Program Files\WindowsApps\Microsoft.ZuneMusic_10.18071.11711.0_x64__8wekyb3d8bbwe 10.18071.0.11711 12/08/2018 56,3 MB
HYPlayer 1.0.0.15 HYPlayer, Inc. C:\Program Files (x86)\HYPlayer\ 1.0.0.15 22/04/2018 6,6 MB
ImTOO PDF to PowerPoint Converter ImTOO D:\Program Files (x86)\ImTOO\PDF to PowerPoint Converter\ 1.0.2.20120229 09/02/2018 37,3 MB
IPCamera V1.0.1.2 PCamera C:\Program Files (x86)\IPCamera\ 22/09/2017 2,8 MB
IPCSearch version 2.4 PCamera D:\Program Files (x86)\IPCSearch\ 2.4 28/10/2017 1.009,0 KB
Manager 2017 pdfforge GmbH. All rights reserved 5.0.26.33533 07/08/2017 8,3 MB
Mappe Windows Microsoft Corporation C:\Program Files\WindowsApps\Microsoft.WindowsMaps_5.1805.1431.0_x64__8wekyb3d8bbwe 5.1805.0.1431 18/06/2018 20,7 MB
Microsoft Skype for Business MUI (Italian) 2016 Microsoft Corporation C:\Program Files\Microsoft Office\ 16.0.4266.1001 14/04/2017 104,5 MB
Microsoft.SkypeApp Skype C:\Program Files\WindowsApps\Microsoft.SkypeApp_12.1815.210.0_x64__kzf8qxf38zg5c 12.1815.0.210 30/07/2018 95,5 MB
Midori 0.5.11 Christian Dywan C:\Program Files (x86)\Midori\bin\ 0.5.11 20/08/2017 110,9 MB
Minecraft for Windows 10 Microsoft Studios C:\Program Files\WindowsApps\Microsoft.MinecraftUWP_1.5.300.0_x64__8wekyb3d8bbwe 1.5.0.300 09/08/2018 184,9 MB
Mixed Reality Portal Microsoft Corporation C:\Windows\SystemApps\Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy 10.0.1.17134 12/04/2018 8,9 MB
PDF Architect 5 Create Module pdfforge GmbH C:\Program Files\PDF Architect 5\ 5.0.28.34044 07/08/2017 67,2 MB
PDF Architect 5 Edit Module pdfforge GmbH C:\Program Files\PDF Architect 5\ 5.0.28.34044 07/08/2017 8,1 MB
PDF Architect 5 View Module pdfforge GmbH C:\Program Files\PDF Architect 5\ 5.0.28.34044 07/08/2017 109,1 MB
PDFCreator pdfforge GmbH C:\Program Files\PDFCreator\ 2.5.3 07/08/2017 39,1 MB
Readiris Corporate 16 I.R.I.S. 16.01.9591 14/08/2017 401,8 MB
RICOH SP 200 Series TWAIN/WIA RICOH C:\ProgramDataes (x86)\Ricoh\SP_200_Series 1.00.0000 06/08/2017 16,4 MB
TeamViewer 13 TeamViewer D:\Program Files (x86)\TeamViewer 13.0.6447 16/01/2018 93,0 MB
Tema dinamico Christophe Lavalle C:\Program Files\WindowsApps\55888ChristopheLavalle.DynamicTheme_1.4.30207.0_x64__jdggxwd41xcr0 1.4.0.30207 18/06/2018 13,3 MB
TeraCopy 2.3 Code Sector C:\Program Files\TeraCopy\ 06/08/2017 6,2 MB
Test ed esami Microsoft Corporation C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy 10.0.1.17134 12/04/2018 1,0 MB
TreeSize V6.3 (64 bit) JAM Software D:\Program Files\JAM Software\TreeSize\ 6.3 14/01/2018 24,8 MB
UltraISO Premium V9.66 C:\Program Files (x86)\UltraISO\ 06/08/2017 6,6 MB
VLC media player VideoLAN C:\Program Files (x86)\VideoLAN\VLC 2.2.6 06/08/2017 123,3 MB
Xbox Game UI Microsoft Corporation C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy 1000.17134.0.1 12/04/2018 1,3 MB
Xerox WorkCentre 6027 Xerox C:\Program Files (x86)\Xerox Office Printing\ 1.029.00 04/08/2018 22,3 MB

Effettuate le disinstallazioni, procedi con la solita scansione via HiJackThis sul PC (modalità provvisoria) e posta il log.

i rogrammi da disinstallare (consigliati o non usati) li disinstallo con "Wise program nintaller" con la procedura descritta in precedenza ?

Scarica ed esegui come amministratore Sysinternals Autoruns...
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
...poi vai nel menù in alto a sinistra > File > Save –-> e salva l'elenco delle voci in formato *.arn; zippa il report così ottenuto e postalo su di un servizio di filehosting tipo: https://wikisend.com/

ok fatto il file .arn ==> 230k circa la sua dimensione
però wikisend mi da' errore ... come lo carico ?

domanda: ma poi che faccio se mi arriva il link dell'upload ?

In alternativa a WikiSend puoi utilizzare uno dei seguenti filehosting:

https://www.mediafire.com
https://www.filedropper.com
http://www.senduit.com
https://mega.co.nz



[1] Verifica che il link ottenuto sia valido (ovvero che il file sia scaricabile) [2] posta il link sul forum in modo da consentirmi di scaricarlo ed analizzarlo.

ecco qui il link di mediafire
ciao

http://www.mediafire.com/file/wpp6t32w5x8dmjc/LAPTOP-R9AJIUTQ.zip/file

Stando ad Autoruns il portatile adesso è pulito. :) Giusto per scrupolo, oltre alla scansione con EEK verifica il portatile utilizzando Kaspersky TDSSKiller: https://www.bleepingcomputer.com/download/tdsskiller/
Riavvia Windows in modalità provvisoria, esegui TDSSKiller come amministratore ed effettua una scansione anti-rootkit. Posta il report di TDSSKiller solo nel qual caso vengano segnalati uno o più elementi sospetti/infetti, altrimenti non è necessario.

Subito dopo, esegui una scansione online delle “commonports” via ShieldsUP!! in modo da verificare la presenza di eventuali porte aperte dalle quali potrebbe essere passata (o ripassare...) l'infezione: https://www.grc.com/x/ne.dll?rh1dkyd2
Per essere tutto ok il risultato finale dovrà essere identico a quello visibile in questa immagine:

https://s33.postimg.cc/huqoj3u57/SU-scan.jpg (https://postimg.cc/image/huqoj3u57/)

Se una o più porte dovessero risultare non-stealth, posta l'immagine del portscan effettuato via ShieldsUP!!, altrimenti non è necessario (nel caso ricordati di oscurare dal report il tuo IP).

CIAO Phoenix2005
grande aiuto il tuo. Ora sarò via per una decina di giorni e quindi devo sospendere le pulizie. appena torno riparto da qui x completare.
Intanto grazie davvero e ... ancora ... 6 in gamba!
CIAO

ho spostato la discussione nell'area dedicata, capisco che quando si hanno problemi con il pc e non ci si salta fuori si cerchino le risposte velocemente ma questo non esula dal assicurarsi di essere nella giusta area e che vengano lette le regole di sezione, grazie per la comprensione :)

Riformulato sotto

Stando ad Autoruns il portatile adesso è pulito. :) Giusto per scrupolo, oltre alla scansione con EEK verifica il portatile utilizzando Kaspersky TDSSKiller: https://www.bleepingcomputer.com/download/tdsskiller/
Riavvia Windows in modalità provvisoria, esegui TDSSKiller come amministratore ed effettua una scansione anti-rootkit. Posta il report di TDSSKiller solo nel qual caso vengano segnalati uno o più elementi sospetti/infetti, altrimenti non è necessario.

Subito dopo, esegui una scansione online delle “commonports” via ShieldsUP!! in modo da verificare la presenza di eventuali porte aperte dalle quali potrebbe essere passata (o ripassare...) l'infezione: https://www.grc.com/x/ne.dll?rh1dkyd2
Per essere tutto ok il risultato finale dovrà essere identico a quello visibile in questa immagine:

https://s33.postimg.cc/huqoj3u57/SU-scan.jpg (https://postimg.cc/image/huqoj3u57/)

Se una o più porte dovessero risultare non-stealth, posta l'immagine del portscan effettuato via ShieldsUP!!, altrimenti non è necessario (nel caso ricordati di oscurare dal report il tuo IP).

..........

CIAO Phoenix2005
rieccomi qui a continuare il lavoro sospeso per chiudere con il primo pc ho fatto le prove che mi suggerivi

==>> tutto OK nessuna minaccia cn TDS Killer!!

==》》Commonports e schiesUp:
nessuna immagine. Questo invece non riesco. mi collego al link e mi esce un messaggio che dice "browser reload suppressed" e poi una descrizione che dice in inglese che il browser usato è stato bloccata la possibilità del refresh della pagina per evitare rischi di sicurezza. boh .... Non arrivo a vedere il test sulle porte ? Perché?

........

Ora riproverò a fare il procedimento della pulizia col secondo pc che intanto sto usando e provo senza a postare seguendo i tuoi passi. non avere fretta a rispondere e fallo solo se nn ti scoccia ....

ciao e grazie i ogni caso.

Grazie 1000.
Domani credo di riuscire provare.

Un dubbio... nei suggerimenti passati mi segnalavi il percorso di programmi da rimuovere ma io non ne li trovavo. Come li individuò?

Es

Grazie 1000.
Domani credo di riuscire provare.

Un dubbio... nei suggerimenti passati mi segnalavi il percorso di programmi da rimuovere ma io non me li trovavo. Come li individuò?

Es
dori 0.5.11 Christian Dywan C:\Program Files (x86)\Midori\bin\ 0.5.11 20/08/2017 110,9 MB
Minecraft for Windows 10 Microsoft Studios C:\Program Files\WindowsApps\Microsoft.MinecraftUWP_1.5.300.0_x64__8wekyb3d8bbwe 1.5.0.300 09/08/2018 184,9 MB
Mixed Reality Portal Microsoft Corporation C:\Windows\SystemApps\Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy 10.0.1.17134 12/04/2018 8,9 MB
PDF Architect 5 Create Module pdfforge GmbH C:\Program Files\PDF Architect 5\ 5.0.28.34044 07/08/2017 67,2 MB
PDF Architect 5 Edit Module pdfforge GmbH C:\Program Files\PDF Architect 5\ 5.0.28.34044 07/08/2017 8,1 MB
PDF Architect 5 View Module pdfforge GmbH C:\Program Files\PDF Architect 5\ 5.0.28.34044 07/08/2017 109,1 MB

O meglio alcuni di questi li vedevo nell'elenco programmi da disinstallare altri no.
Da dove prendevi il percorso delle cartelle ?

Comunque sempre grazie. Ciao

Subito dopo, esegui una scansione online delle “commonports” via ShieldsUP!! in modo da verificare la presenza di eventuali porte aperte dalle quali potrebbe essere passata (o ripassare...) l'infezione

Se una o più porte dovessero risultare non-stealth, posta l'immagine del portscan effettuato via ShieldsUP!!, altrimenti non è necessario (nel caso ricordati di oscurare dal report il tuo IP).

CIAO Phoenix,
fatto il test delle common ports ma ce ne sono 2 aperte e un pacco di chiuse ... oltre alle stealth. che significa ? vedi allegato
ciao ciao

Una volta finito riavvia Windows in modalità normale ed esegui nuovamente la scansione con HiJackThis e posta il log aggiornato.

Ciao Phoenix
Riprendo la pulizia del notebook Asus dopo averlo usato un poco.
Allego i log di wiseuninsraller e giustizia.
Che mi dici ? .... quando puoi ...
Ciao http://cloud.tapatalk.com/s/5b9eac853ec63/HiJackThis%20asus%20notebook.txthttp://cloud.tapatalk.com/s/5b9eacb2a8d2e/lista%20asus%20notebook.txt

Inviato dal mio SM-T815 utilizzando Tapatalk

Ciao Phoenix
Riprendo la pulizia del notebook Asus dopo averlo usato un poco.
Allego i log di wiseuninsraller e giustizia.
Che mi dici ? .... quando puoi ...
Ciao http://cloud.tapatalk.com/s/5b9eac853ec63/HiJackThis%20asus%20notebook.txthttp://cloud.tapatalk.com/s/5b9eacb2a8d2e/lista%20asus%20notebook.txt

Inviato dal mio SM-T815 utilizzando TapatalkEcco l'altro file http://cloud.tapatalk.com/s/5b9eae5be5b90/lista%20asus%20notebook.txt

Inviato dal mio SM-T815 utilizzando Tapatalk

Ecco l'altro file http://cloud.tapatalk.com/s/5b9eae5be5b90/lista%20asus%20notebook.txt

Inviato dal mio SM-T815 utilizzando TapatalkSegnalo che c'è un maledetto popup che ogni tanto apre una notifica nell'angolo sx basso dello schermo con una scritta del tipo www.chrome59zippyshare... che non riesco ad individuare x eliminare..... speriamo che la cura....
Ciao

Inviato dal mio SM-T815 utilizzando Tapatalk

NOTA: il report 1537125554_lista20asus20notebook.txt e il report 1537125979_lista20asus20notebook.txt sono identici…

non mi ricordo più quali devo postare ... me lo ricordi ?


Su quale PC? Suppongo su uno dei PC non ancora puliti...in ogni caso vai in modalità provvisoria e disinstalla tutti i browser installati sulla macchina in questione utilizzando al solito Wise Uninstaller ed esegui una pulizia tramite CClenarer e poi una scansione AV tramite EEK (aggiornato) e nel caso elimina le voci infette; poi riavvia il sistema in modalità normale ed installa e configura un solo browser, possibilmente non Chrome ma la versione portable di Firefox: https://portableapps.com/apps/internet/firefox-portable-esr

sì sì ancora da pulire. quello che stiamo guardando ora. provo a cambiare browser. ma firefox è meglio di chrome ? meno problemi ? certo uno installato da usare normalmente serve.

provo a pulire e ripostare i log ... ma ricordami quali ....

Ciao e buona pulizia. :)

ciao e grazie ancora

[QUOTE=Phoenix2005;45769249]In entrambi e casi si tratta di funzionalità legittime ma pericolose, specie se lasciate attive non avendone necessità o peggio, non sapendo neppure di averle attive! Quindi la domanda è semplice: hai hardware IoT collegato in rete [1] oppure utilizzi programmi che fanno uso di FTP o TELNET?

beh ... NON SO.
Meglio: uso i pc di lan di casa sia x scaricare e passare files da uno all'altro ma ho anche un paio di telecamere ip di rete (cinesi ma credo discrete) collegate alla lan che possono registrare ed hanno una sd "esplorabile"


a) Se la risposta è SÌ, allora le porte e relativi hardware/software vanno messi in sicurezza tramite un Firewall Hardware + VPN

?????? NON ho idea di come si faccia questa cosa ....

b) Se la risposta è NO, allora hai un serio problema di sicurezza perché la tua rete presenta porte, protocolli e funzionalità completamente fuori controllo che andrebbero sistemate quanto prima...per lo meno tramite la configurazione di un Firewall Software: va bene anche quello integrato in Windows (se poi vuoi risultare stealth su tutte le porte ti occorrerà specificatamente un Firewall Hardware).

... una parola (x me) .....


Sempre in riferimento alle porte aperte, prima di procedere con la pulizia via HijackThis, esegui questo semplice test:

1) Spegni i PC e gli apparati di rete.
2) Riaccendi il tutto (partendo dal router) - dopo esserti assicurato di avere la connettività internet e senza eseguire alcun programma - apri un prompt dei comandi del DOS come amministratore, poi digita:

TUTTI ?? tra cell dei figli ... tablet .... fissi e portatili .... ci metto un secolo. .. e poi me ne scappa sempre qualcuno. Possibile spegnerli e provare con alcuni ?



netstat -abn > c:\N-log-1a.txt
+ invio

...poi il comando:

netstat -anovb > c:\N-log-1b.txt
+ invio

A questo punto dovrebbero essersi generati due distinti file di log con percorso diretto sulla partizione C: N-log-1a.txt e N-log-1b.txt. Postali entrambi: i log servono a verificare se ci siano o meno processi in esecuzione responsabili dell'apertura delle porte 21/23 e, se sì, quali siano.

NOTA: i comandi in questione vanno eseguiti su ogni macchina (al limite rinomina i successivi gruppi di log dei vari PC così: N-log-2a + N-log-2b, N-log-3a + N-log-3b, etc...insomma...ricordati di associarli rinominandoli per gruppi magari aggiungendoci il nome della macchina scansionata, altrimenti sarà difficile poi capire a quale PC appartengano i singoli report).

CI PROVERO'

Report: 1537125554_lista20asus20notebook.txt

- DA AGGIORNARE -

I driver scheda video: disinstallare tramite Wise Uninstaller tutti i componenti video AMD da... AMD Catalyst Control Center Advanced Micro Devices, Inc. C:\Program Files (x86)\ATI Technologies\ 2015.1104.1643.30033 18/06/2018 90,3 MB ...sino a... ccc-utility64 Advanced Micro Devices, Inc. C:\Program Files\AMD\ 2015.0804.21.41908 25/11/2017 842,0 KB

...per poi installare gli ultimi driver disponibili per la scheda video.

... eh eh .... non proprio facile x me ... vai a scoprire dove sono quelli di "nvidia radeon hd 7640g" ==> trovo sempre file di installazione da 2/300 mega che certamente contengono di tutto....


IMPORTANTE: in fase di setup, se possibile, esegui un'installazione personalizzata dei soli driver video (senza utility o componenti extra).

vedi ultima mia nota...

PS: MA come faccio a lasciare in evidenza la tua parte di risposta per aggiungere il mio commento lì vicino "ma staccato" ? Per praticità di lettura di chi legge (tu o altri) che avrebbe immediata evidenza di domanda e risposta.

CIAO PHOENIX

OK ecco qui in allegato i due file programmi ed highjack del notebook asus in lavorazione.

qualche programma l'ho tenuto ,,, non so se ho seguito tutti i passaggi (credo di sì).

quando riesci fammi sapere che pasticcio sto facendo o meno.

Se parliamo specificatamente di sicurezza e privacy mille volte meglio Firefox piuttosto che Chrome...meglio ancora se parliamo della versione portatile di Firefox con sopra aggiunti questi add-on:

NoScript
https://addons.mozilla.org/en-US/firefox/addon/noscript/

HTTPS Everywhere
https://addons.mozilla.org/en-US/firefox/addon/https-everywhere/

uBlock Origin
https://addons.mozilla.org/en-US/firefox/addon/ublock-origin/



Ok installo Firefox ... ma non portable causa utilizzo famiglia + semplice.



Brutte notizie: è proprio da lì che possono arrivare i problemi (leggasi: malware) e, molto probabilmente, sono le telecamere IP a forzare l’apertura delle porte 21/23 e quindi a lasciarti esposto a potenziali attacchi portati via internet.

Nome del costruttore e modello delle telecamere IP in questione?

FUSAFE model FS-F2
https://www.aliexpress.com/item/FUSAFE-Newest-1080P-HD-Wifi-IP-Camera-Wi-fi-Home-Security-Camera-Network-CCTV-Camera-Baby/32806425264.html


N.B. Molti router offrono anche funzionalità di Firewall Hardware: tuttavia per l’eventuale configurazione del tuo router in tal senso (sempre che sia possibile) dovresti rivolgerti nell’apposita sezione del forum di Hardware Upgrade: https://www.hwupgrade.it/forum/forumdisplay.php?f=123

mio router Netgear D8500 credo piuttosto buono ... forte ci penserò più avanti alla configurazione esperta


Una volta portata a termine l’eliminazione, per scrupolo - preferibilmente dalla modalità provvisoria - esegui una nuova scansione sia con EEK che con malwarebytes (versione free): https://www.malwarebytes.com/


EEK ok. trova un solo pup KMSAuto ,,, che un amico dice di lasciare ... dall'installazione del SO. boh. c'e' sempre stato.


A proposito: il popup www-chrome59zippyshare si manifestava sul PC Asus appena pulito? adesso ti compare ancora?


non so. sempre tenuto scollegato dalla rete ora provo x installare firefox e sumatra, poi ti dico.


Se hai difficoltà limitati ad installare l’ultima versione disponibile dei driver video scaricandoli dal sito del produttore (l’installazione andrà a sovrascrivere i vecchi driver video con quelli nuovi).

il fatto è che non c'e' un file o pochi file da scaricare per quella sola sk video ma quel superfile che poi chiede cosa installare (credo) non so se lì dentro si possa scegliere solo il minimo necessario.



L’ideale è partire con l’intera infrastruttura di rete avviata da zero ma se hai difficoltà puoi spegnere il router e poi la singola periferica, poi riaccendere in sequenza il router e la singola periferica da verificare per poi effettuarne la scansione delle porte aperte tramite i due comandi netstat: assicurati - prima di effettuare i test - di avere la connettività internet operativa: i log in questione sono fondamentali per valutare la situazione attuale della tua rete e prendere i provvedimenti necessari a limitare l’esposizione delle singole macchine su internet.

,,,, eh una parola. proverò ,,,,,

Kmsauto è un attivatore di windows....o programmi windows...

Ma che problemi rimangono?

A prescindere dalla versione gli add-on suggeriti installali comunque.



Informazioni se ne trovano pochine ma penso sia proprio l'IP CAM a tenerti aperta la porta FTP...ed è tutto sommato normale, visto le funzionalità di cui dispone...meno normale (ma non sono certo un esperto del settore) è l'apertura 24/h su 24/h della porta 23 (collegata col telnet)...così d'istinto mi sa tanto di ingresso privilegiato per la classica backdoor non documentata...infatti, se dai un'occhiata a questa ricerca (che “guarda caso” analizza proprio IP CAM cinesi)...

https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html

...nella primissima parte dell'analisi si legge: "Update (Mar 16, 2017): Following the strong requests from a specific vendor, the complete list of 1250 affected camera models has been removed".

1250 modelli di IP cam cinesi hackerabili...nel mucchio rientrerà anche la tua? Decidi tu.

Ma non finisce qui, infatti poi continua con: “By default, telnet is running on the camera.” E subito dopo: “One backdoor account exists in the camera“.

FTP, telnet, backdoor...la tipica telecamera cinese, insomma! personalmente un aggeggio del genere lo terrei scollegato da internet, spento e...dentro la confezione nella quale è arrivato! ;)



Ho dato un'occhiata al volo al manuale e, oltre al Parental Control con la possibilità di filtrare i domini, il D8500 integra un Firewall di base ma adeguato alle tue attuali esigenze...quindi direi che è ok.



Non c'era certo bisogno di EEK per accorgersene: infatti risultava anche dal log HiJackThis ma non te l'ho segnalato per lo stesso motivo per il quale il tuo amico ti ha detto di non rimuoverlo. ;)



Se trovi la gestione dei driver video troppo complessa non stare a preoccuparti: puoi restare anche con i vecchi driver oppure eseguire un setup standard. :)


P.S.

...ma le password di accesso alle IP CAM le hai cambiate oppure hai lasciato quelle di default?... Ok x Firefox.
... camere IP: non erano neanche a prezzo stracciato.60 70 euro e piu'. Anzi Sono 3 xche' ce' pure una Konlen. CAratteristiche analoghe.
... certo psw subito cambiate
... router rileggero' con.calma
... proprio non e' attuabile una precauzione mantenendole? E poi che se me sa di queste cose quando compra .... un utente normale?

Ciao

Inviato dal mio M9pro utilizzando Tapatalk