Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?

ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere
HONOR ha introdotto con Magic6 Pro la funzione Magic Portal che consente, tramite intelligenza artificiale, di suggerire scorciatoie agli utenti in modo da permettere di passare e accedere facilmente ai servizi tra app e dispositivi con un semplice tocco. Vi spieghiamo qui come funziona
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 02-04-2021, 18:48   #1
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
microsoft photos trojan

Buonasera, poco fa mentre guardavo su pc delle foto scattate con il cellulare (passate dall'account di google al computer) clicco sulla foto e ingrandisco.

malwarebytes mi fa notare con un popup

Quote:
-Dettagli log-
Data evento di protezione: 02/04/21
Ora evento di protezione: 18:39
File di log: 06014df9-93d2-11eb-8ecd-d05099853a59.json

-Informazioni software-
Versione: 4.3.0.98
Versione componenti: 1.0.1236
Aggiorna versione pacchetto: 1.0.39012
Licenza: Trial

-Informazioni sistema-
SO: Windows 10 (Build 19042.867)
CPU: x64
File system: NTFS
Utente: System

-Dettagli siti web bloccati-
Sito web nocivo: 1
, C:\Program Files\WindowsApps\Microsoft.Windows.Photos_2020.20120.4004.0_x64__8wekyb3d8bbwe\Microsoft.Photos.exe, Bloccato, -1, -1, 0.0.0, ,

-Dati sito web-
Categoria: Trojan
Dominio: cs9.wac.phicdn.net
Indirizzo IP: 93.184.220.29
Porta: 80
Tipo: In uscita
File: C:\Program Files\WindowsApps\Microsoft.Windows.Photos_2020.20120.4004.0_x64__8wekyb3d8bbwe\Microsoft.Photos.exe



(end)
qualcuno ha idea di cosa significhi? debbo preoccuparmi? grazie
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 02-04-2021, 18:49   #2
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
ora questo

Quote:
Malwarebytes
www.malwarebytes.com

-Dettagli log-
Data evento di protezione: 02/04/21
Ora evento di protezione: 18:49
File di log: 56999062-93d3-11eb-a35a-d05099853a59.json

-Informazioni software-
Versione: 4.3.0.98
Versione componenti: 1.0.1236
Aggiorna versione pacchetto: 1.0.39012
Licenza: Trial

-Informazioni sistema-
SO: Windows 10 (Build 19042.867)
CPU: x64
File system: NTFS
Utente: System

-Dettagli siti web bloccati-
Sito web nocivo: 1
, C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe, Bloccato, -1, -1, 0.0.0, ,

-Dati sito web-
Categoria: Trojan
Dominio: cs9.wac.phicdn.net
Indirizzo IP: 93.184.220.29
Porta: 80
Tipo: In uscita
File: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe



(end)
scansionato completamente con avira, quando apro l'applicazione di avira per gestione password, malwarebytes blocca anche avira

-Dettagli log-
Data evento di protezione: 02/04/21
Ora evento di protezione: 20:02
File di log: 94555756-93dd-11eb-8b49-d05099853a59.json

-Informazioni software-
Versione: 4.3.0.98
Versione componenti: 1.0.1236
Aggiorna versione pacchetto: 1.0.39012
Licenza: Trial

-Informazioni sistema-
SO: Windows 10 (Build 19042.867)
CPU: x64
File system: NTFS
Utente: System

-Dettagli siti web bloccati-
Sito web nocivo: 1
, C:\Program Files (x86)\Avira\Security\Avira.Spotlight.UI.Application.exe, Bloccato, -1, -1, 0.0.0, ,

-Dati sito web-
Categoria: Trojan
Dominio: cs9.wac.phicdn.net
Indirizzo IP: 93.184.220.29
Porta: 80
Tipo: In uscita
File: C:\Program Files (x86)\Avira\Security\Avira.Spotlight.UI.Application.exe
(end)

Ultima modifica di blocc0 : 02-04-2021 alle 20:07.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 08:47   #3
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
ciao, onestamente ho ricordato che ieri quando ho installato malwarebytes aggiornandolo all'ultima versione ho cliccato sulla protezione massima fornita dalla trial premium, flaggando tutti i tipi di controllo.

essendo che ogni contenuto web (tipo vedo foto mie su win10, cerco qualcosa da start o semplicemente apro avira) che tentava di caricare lo bloccava.
non vorrei fosse eccessivamente invasivo, memore di come avast un tempo identificasse il blocconote come trojan solo perchè con tale strumento volendo si può compilare qualcosa.

quindi ho disinstallato malwarebytes perchè avira dopo una scansione completa non trova nulla e anche la sicurezza di windows defender non dava nulla.

appare anche se clicco su AdwCleaner mentre non lo fa se clicco su "Kaspersky TDSSKiller" , mentre se li cerco da google nessun problema

Ultima modifica di blocc0 : 06-04-2021 alle 18:29.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 10:18   #4
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
aggiorno:
ho seguito le istruzioni e
EEK resta in background con 18,4 mb di memoria in uso ma non appare nulla, non so se sta scansionando (ho avviato come amministratore in mod provvisoria, provando sia da pen drive che direttamente da desktop)
quindi sto scansionando non da provvisoria e sembra funzionare (cpu al 100% di utilizzo e massima priorità)

EDIT

EEK ha terminato dopo una mezz'oretta non ha trovato problemi

(da modalità provvisoria) Kaspersky TDSSKiller non ha trovato problemi

(da modalità provvisoria) AdwCleaner ha messo in quarantena questi

Spoiler:


posso reinstallare avira e sentirmi sufficientemente sereno? (sono speranzoso a riguardo)

Ultima modifica di blocc0 : 03-04-2021 alle 11:02.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 13:10   #5
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
ora sto postando da un altro pc con windows 7 (medesima rete) ma che non comunica con l'altro del quale ho fatto le scansioni. se clicco sui link fornitemi di EEK rimanda comunque alla pagina skimcoso, su questo pc con win7 non ho trovato infezioni.


oddio... ora sono sul pc con win7 e se clicco sul link mi rimanda a skimcoso... (ho aggiunto anche qui la riga in hosts e lo blocca)

ma questa cosa dei link mi succede solo con questo forum a dire il vero


EDIT
il log di adwcleaner

Ultima modifica di blocc0 : 06-04-2021 alle 18:30.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 14:12   #6
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
Scollegato da wifi cellulari e tablet, PC . Resettato manualmente il modem hub fibra Tim e cambiato password.
Ora ho il PC con win 10 acceso, perché ho cambiato la password

Al momento di cambio password Chrome mi dice:
Cambia la password (admin, admin di default) a causa di una violazione di dati su un sito o app è stata esposta. Chrome ti consiglia di cambiare subito la password (dava sito non sicuro il 192.168.1.uno) cambiata subito

Comunque quel redirezionamento mi accadeva solo su link che ho postato di MediaFire in questo forum e su un paio cliccati da te postati.

Per ora sono scollegati 3 cellulari, 2 iPad, 1kindle, 1 laptop con Linux, 1 Win7. 1 win10 desktop attivo
Poi potrò ricollegare tablet e Kindle al WiFi?


EDIT
da questo pc con win10 cliccando sul link di mediafire che ho postato sopra ora mi rimanda diretto a quella pagina e non ad altre, spero sia sia risolta la faccenda, anche quello con win7 mi manda direttamente a mediafire senza redirezionamento a strani siti
ora mi chiedono di poter riconnettere il laptop al wifi e debbo farlo, spero non accada nulla di male

Ultima modifica di blocc0 : 06-04-2021 alle 18:30.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 16:06   #7
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
da autoruns tolto i collegamenti in giallo (obsoleti/mancanti)

messo i dns di google

Ultima modifica di blocc0 : 06-04-2021 alle 18:31.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 16:54   #8
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
in questo log se clicco su "Microsoft" che è in blu, anche se è testo copiato e incollato come il resto del log, passo sopra il cursore e in basso vedo che rimanderebbe al sito microsoft ma in realtà cliccandoci sopra rimanda a quel sito là... veramente inizio a pensare di formattare e rimettere tutto pulito.

PS.visto che la stessa situazione di vedere nomi di programmi in blu in parti di log, la ho sul telefono non è che sono pubblicità del forum che ad ogni click prende monetizzazione? Non ho cliccato da telefono ma ricordo che molto tempo fa in altri forum uno scriveva di un prodotto e passandoci il cursore mettevano l'annuncio del prodotto. Non ricordo bene ma erano ads di anni fa

Ultima modifica di blocc0 : 06-04-2021 alle 18:31.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 18:33   #9
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
confermo che i DNS erano quelli di Google in dos

connesso alla rete c'era solo il pc con win10 e tutti gli altri dispositivi scollegati

per le connessioni attive non ho idea sinceramente, spero siano i vari programmi installati o servizi/app di win10 che comunicano
ho fatto netstat dopo un paio di minuti come da istruzioni senza avviare programmi ma in modo normale, magari riprovo da provvisoria con rete


ho provato su un altro sito a cliccare su link che indirizzano a programmi free, da quella lista nessun reindirizzamento, praticamente
me lo fa solo in questo forum per ora.

Ultima modifica di blocc0 : 06-04-2021 alle 18:32.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2021, 09:00   #10
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
si resettai manualmente tenendo premuto 30sec il tasto sul modem

https://forums.malwarebytes.com/topi...omment-1448684
qui dice che cs9_wac_phicdn_net (messo - al posto di .) è un falso positivo di malwarebites


en.wikipedia.org/wiki/Skimlinks qui descrive skimcoso come
"is a content monetization platform for online publishers"
quindi verosimilmente non è infetto il mio sistema, quanto sono cose appartenenti al forum che monetizza sui link postati con redirect


https://www.marshallforum.com/thread....111203/page-2

cito l'ultimo messaggio di questo forum dove ne parlano

Quote:
"Restored my PC to before Skimlinks incident, and it was still there.
Malwarebytes scan found nothing.
Kaspersky full scan found nothing.
Repeating the link hijack experiment on the Seymour Duncan forum, no Skimlinks hijack.

But now I am not getting the Skimlinks hijack anymore with the MF!

Skimlinks is a money spinning tool that can be used by forums, etc., to get advertiser money from hosting weblinks to commercial websites.
This is from Wikipedia: https://en.wikipedia.org/wiki/Skimlinks

I think there may have been an integration problem that the MF has now fixed.
I assume they have only just started using Skimlinks, as I usually check my posted links to make sure they work properly.
This problem only started since the New Year."

non mi sarebbe dispiaciuto sapere in anticipo: "su questo forum se reindirizza non è malware ma è per sostenerci economicamente con pubblicità"
attendo la risposta di un moderatore o chi di dovere per conferma, grazie
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 06-04-2021, 18:02   #11
xcdegasp
Moderatore
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
discussione spostata
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
Old 06-04-2021, 18:39   #12
[K]iT[o]
Senior Member
 
Iscritto dal: Jul 2002
Messaggi: 5605
Sul forum di MBAM indicano la prima rilevazione di quel sito web che avete bloccato negli hosts come falso positivo:

https://forums.malwarebytes.com/topi...9wacphicdnnet/

Per il resto, buon lavoro, seguo curioso.
[K]iT[o] è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
Recensione HONOR Pad 9: ampio display e audio top per il tablet per l'intrattenimento Recensione HONOR Pad 9: ampio display e audio to...
Take-Two acquisisce Gearbox per 460 mili...
NVIDIA H100, H200 e Intel Gaudi 2 si sfi...
Lamborghini, nuovo logo e font, ora abbr...
Xbox Series X si veste di bianco, ma &eg...
La Porsche Boxster elettrica beccata in ...
L'iPad da 10,9" (Wi-Fi, 64GB) è sceso a ...
Dell, calo del mercato PC: licenziati 13...
Alfa Romeo Milano, scopriamo profilo e l...
Hisense vende un TV FHD 32 pollici con Q...
Cisco Webex anche in auto: ora è ...
Phil Schiller, il boss dell'App Store di...
Lola in Formula E insieme a Yamaha, due ...
Motorola MA1 è l'accessorio ideale per u...
Tineco e aspirapolveri senza fili, la nu...
Blocco note, c'è un modo per ripr...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 13:53.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www2v