Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?

ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere
HONOR ha introdotto con Magic6 Pro la funzione Magic Portal che consente, tramite intelligenza artificiale, di suggerire scorciatoie agli utenti in modo da permettere di passare e accedere facilmente ai servizi tra app e dispositivi con un semplice tocco. Vi spieghiamo qui come funziona
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 08-07-2021, 17:54   #1
Life bringer
Senior Member
 
Iscritto dal: Jun 2001
Città: Varese
Messaggi: 8245
Scaricato file malevolo

Buonasera, purtroppo per una mia distrazione ho scaricato (ed eseguito) un file malevolo.
Il risultato del file installato su virustotal è questo: https://www.virustotal.com/gui/file/...aa71/detection

Dopo averlo eseguito è partita una richiesta uac, subito dopo è uscito il messaggio che il pc si sarebbe riavviato entro 1 minuto (in quel momento ho realizzato della sciocchezza fatta e ho brutalmente spento il pc).
Ora son con il portatile, visto che nel caso mi sia beccato un file che cripta e chiede il riscatto spero non abbia fatto troppi danni.

Come mi devo comportare?

Grazie!
__________________
Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi e stampante laser (click!)
Life bringer è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2021, 04:36   #2
Life bringer
Senior Member
 
Iscritto dal: Jun 2001
Città: Varese
Messaggi: 8245
Grazie per la completa risposta.

Purtroppo non si trattava di un falso positivo ma bensì di un trojan che ha una dimansione random in modo da essere più stealth con gli antivirus.

Ho scaricato kaspersky anti-virus attivato la licenza di prova e ha proceduto alla rilevazione e rimozione del virus.
Rianalizzando il file ora su virustotal anch'esso lo riconosce come virus.

Ora sto facendo per maggior sicurezza una scansione totale del sistema, ma credo la situazione sia rientrata.

Purtroppo non potevo smontare l'hard disk in quanto trattasi di un ssd nvme e non ho altri pc dove montarlo.

Diciamo che mi sembra ridicola questa nuova feature degli antivirus che ti costringe a rimanere connesso per validare una licenza demo o per scaricare l'antivirus in se, fanno praticamente il gioco dei trojan, costringerti a stare online pur sapendo di essere infetto.

Edit: Secondo kaspersky l'infezione è risolta, ma purtroppo: windows update non funziona, restituendomi sempre questo errore: "Si sono verificati alcuni problemi durante l'installazione degli aggiornamenti, ma verrà eseguito un ulteriore tentativo più tardi. Se il messaggio viene visualizzato di nuovo e vuoi cercare ulteriori informazioni nel Web o contattare il supporto tecnico, questo può essere utile: (0x80070424)"

Il microsoft store non è più funzionante, se provo ad aprire l'app si chiude immediatamente.
__________________
Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi e stampante laser (click!)

Ultima modifica di Life bringer : 09-07-2021 alle 06:13.
Life bringer è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2021, 11:03   #3
Perseverance
Senior Member
 
L'Avatar di Perseverance
 
Iscritto dal: Jul 2008
Messaggi: 7855
Il virus sarà anche estirpato ma le cicatrici te le ha lasciate. Chissà quanti altri strascichi troverai fra servizi disattivati e roba modificata. Sono anni, tanti anni, che io non rimuovo più virus a nessuno; chiedo cosa vogliono salvare (foto, password, video, musica, cronologia) eppoi formattone!

Coi sistemi operativi ed i virus odierni non hai più idea di cosa vadano a modificare, a iniettare, a inserire negli exe e nelle dll di sistema e non; magari riaprono buchi chiusi da aggiornamenti o inseriscono codice aggiuntivo da qualche parte. Con un sistema completamente chiuso come quello di microsoft che ti vuoi mettere a disinfettare?!

Riformatti e basta! No ripristino, proprio piallare e reinstallare.

Se l'antivirus lo metti prima può servire a qualcosa, ma se lo metti dopo l'infezione non serve quasi più a nulla.

Non voglio insegnare a usare il PC a nessuno ma servirebbe più che un antivirus una sana pratica di igiene e consapevolezza nell'utilizzo del PC; il solo creare e usare un account utente limitato ed uno amministrativo con password ti leva di torno la maggiorparte delle conseguenze gravi di virus e malware. Browser affidabile, blocco script e pubblicità fungono altrettanto bene come forma ulteriore di prevenzione. Eppoi backup esterno delle tue cose.
__________________
System Failure
Perseverance è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2021, 16:13   #4
Life bringer
Senior Member
 
Iscritto dal: Jun 2001
Città: Varese
Messaggi: 8245
Credo che il virus in se non fosse "nuovo".

Caricato su virustotal ha questi dettagli:
Creation Time 2020-03-15 06:37:31
First Seen In The Wild 2021-02-06 21:01:19

Visto che poi l'ho scaricato (ma senza eseguirlo ovviamente), sul portatile, per darlo in pasto a virus total, questo "coso", cambia nome ogni volta che viene scaricato, in più, viene scaricato un archivio in un archivio (con password contenuta in un semplice txt).

Le firme degli antivirus l'hanno riconosciuto subito, adwcleaner ha cercato di rimuoverlo in modo molto grezzo (senza risultati), kaspersky invece l'ha fatto a pezzettini.

Su virustotal alla voce behaviour, si possono trovare dei riferimenti su ciò che crea e distrugge e come si comporta, per fortuna è un "semplice" trojan, il suo scopo era rimanere in incognito e avere uno zombiepc in più.

Il simpaticone aveva cancellato totalmente i riferimenti al servizio wuauserv, con un file di registro l'ho reimpostato ed ora funziona tutto, aggiornamenti e microsoft store (per il poco che lo uso).

Per quanto concerne i consigli, li conosco, purtroppo ieri ho commesso una disattenzione dovuta alla fretta, il file era scaricato da una fonte sicura, ma il sito si è verificato malevolo, tanto che dopo la mia segnalazione è stato fatto sparire il link, nemmeno l'autore riusciva più a scaricare il proprio file, in più il sito in questione ha chiesto esplicitamente di disattivare ublock (che uso regolarmente), per poter scaricare il file. Insomma mea culpa senza scusanti.
__________________
Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi e stampante laser (click!)
Life bringer è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2021, 21:14   #5
Life bringer
Senior Member
 
Iscritto dal: Jun 2001
Città: Varese
Messaggi: 8245
Purtroppo ieri quei file nella partizione nascosta non erano segnati.
Ho provato a controllarli, ti chiedo, se possibile di confrontarli con i tuoi:
Versione 21H1 (build SO 19043.1083)
EFI\Boot\EfiGuardDxe.efi -> file non presente.


EFI\Boot\bootx64.efi
Nome: bootx64.efi
Dimensione: 1558840 byte (1522 KiB)
CRC32: 1AF70B6F
CRC64: 160E1EE494502699
SHA256: 0CF115A72BB7F3AEA4535B5D3090A8B0E291D1C5CD1D1724E41754D82ECBD55C
SHA1: E458D5E1B326BE03E59478B7F26A157C7D8936A8
BLAKE2sp: F239A158B329284F43C9958EFA6E5AE72B33875B60026E66622F6689EB2BEDB3


EFI\Microsoft\Boot\bootmgfw.efi
Nome: bootmgfw.efi
Dimensione: 1558840 byte (1522 KiB)
CRC32: 1AF70B6F
CRC64: 160E1EE494502699
SHA256: 0CF115A72BB7F3AEA4535B5D3090A8B0E291D1C5CD1D1724E41754D82ECBD55C
SHA1: E458D5E1B326BE03E59478B7F26A157C7D8936A8
BLAKE2sp: F239A158B329284F43C9958EFA6E5AE72B33875B60026E66622F6689EB2BEDB3


Li avrei confrontati io stesso sul portatile pur utilizzando la stessa versione di 10 è stato installato in un altro modo e la partizione e i file non sono presenti.
__________________
Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi e stampante laser (click!)
Life bringer è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2021, 23:00   #6
Life bringer
Senior Member
 
Iscritto dal: Jun 2001
Città: Varese
Messaggi: 8245
Ottima idea, non ci avevo pensato. Il primo file non è stato creato dal virus, essendo un'utility per disattivare i driver firmati, probabilmente il virus cerca di insinuarsi in esso nel caso sia installato.

Entrambi i file sembrano essere "puliti":
https://www.virustotal.com/gui/file/...d55c/detection

https://www.virustotal.com/gui/file/...d55c/detection

Per quanto riguarda la data di modifica, entrambi riportano il 23 giugno 2021, quando ho installato l'ultima versione di windows 10.
__________________
Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi e stampante laser (click!)
Life bringer è offline   Rispondi citando il messaggio o parte di esso
Old 12-07-2021, 15:25   #7
Life bringer
Senior Member
 
Iscritto dal: Jun 2001
Città: Varese
Messaggi: 8245
Mh hai ragione, ho ricontrollato, i due file sono esattamente identici, pensavo di aver fatto casino con il copia incolla
__________________
Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi e stampante laser (click!)
Life bringer è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
Recensione HONOR Pad 9: ampio display e audio top per il tablet per l'intrattenimento Recensione HONOR Pad 9: ampio display e audio to...
AirPods e iPhone 15 in offerta: modello ...
Offerta Ring Intercom ed Echo Pop: se co...
Tesla bot Optimus: ecco quanto costa il ...
ECOVACS DEEBOT T30 PRO OMNI con sconto d...
Disney+: perché il colosso ha cam...
Prezzo bomba per Google Pixel 8: ora cos...
Google Pixel 9 arriverà in tre ve...
One UI 6.1 con Galaxy AI da oggi, 28 mar...
Ninja, il famoso streamer ha scoperto di...
Xi Jinping: nessuno può fermare i...
Un veicolo elettrico su quattro venduto ...
Super portatile HP a prezzo di svendita:...
Motorola spopola su Amazon: prezzi assur...
Il treno svizzero Flirt H2 è da G...
SpaceX: secondo static fire per Starship...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 09:17.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www2v