|
|
|
|
Strumenti |
02-04-2021, 17:48 | #1 | |
Member
Iscritto dal: Aug 2009
Messaggi: 50
|
microsoft photos trojan
Buonasera, poco fa mentre guardavo su pc delle foto scattate con il cellulare (passate dall'account di google al computer) clicco sulla foto e ingrandisco.
malwarebytes mi fa notare con un popup Quote:
|
|
02-04-2021, 17:49 | #2 | |
Member
Iscritto dal: Aug 2009
Messaggi: 50
|
ora questo
Quote:
-Dettagli log- Data evento di protezione: 02/04/21 Ora evento di protezione: 20:02 File di log: 94555756-93dd-11eb-8b49-d05099853a59.json -Informazioni software- Versione: 4.3.0.98 Versione componenti: 1.0.1236 Aggiorna versione pacchetto: 1.0.39012 Licenza: Trial -Informazioni sistema- SO: Windows 10 (Build 19042.867) CPU: x64 File system: NTFS Utente: System -Dettagli siti web bloccati- Sito web nocivo: 1 , C:\Program Files (x86)\Avira\Security\Avira.Spotlight.UI.Application.exe, Bloccato, -1, -1, 0.0.0, , -Dati sito web- Categoria: Trojan Dominio: cs9.wac.phicdn.net Indirizzo IP: 93.184.220.29 Porta: 80 Tipo: In uscita File: C:\Program Files (x86)\Avira\Security\Avira.Spotlight.UI.Application.exe (end) Ultima modifica di blocc0 : 02-04-2021 alle 19:07. |
|
03-04-2021, 07:47 | #3 |
Member
Iscritto dal: Aug 2009
Messaggi: 50
|
ciao, onestamente ho ricordato che ieri quando ho installato malwarebytes aggiornandolo all'ultima versione ho cliccato sulla protezione massima fornita dalla trial premium, flaggando tutti i tipi di controllo.
essendo che ogni contenuto web (tipo vedo foto mie su win10, cerco qualcosa da start o semplicemente apro avira) che tentava di caricare lo bloccava. non vorrei fosse eccessivamente invasivo, memore di come avast un tempo identificasse il blocconote come trojan solo perchè con tale strumento volendo si può compilare qualcosa. quindi ho disinstallato malwarebytes perchè avira dopo una scansione completa non trova nulla e anche la sicurezza di windows defender non dava nulla. appare anche se clicco su AdwCleaner mentre non lo fa se clicco su "Kaspersky TDSSKiller" , mentre se li cerco da google nessun problema Ultima modifica di blocc0 : 06-04-2021 alle 17:29. |
03-04-2021, 09:18 | #4 | ||
Member
Iscritto dal: Aug 2009
Messaggi: 50
|
aggiorno:
ho seguito le istruzioni e EEK resta in background con 18,4 mb di memoria in uso ma non appare nulla, non so se sta scansionando (ho avviato come amministratore in mod provvisoria, provando sia da pen drive che direttamente da desktop) quindi sto scansionando non da provvisoria e sembra funzionare (cpu al 100% di utilizzo e massima priorità) EDIT EEK ha terminato dopo una mezz'oretta non ha trovato problemi (da modalità provvisoria) Kaspersky TDSSKiller non ha trovato problemi (da modalità provvisoria) AdwCleaner ha messo in quarantena questi
posso reinstallare avira e sentirmi sufficientemente sereno? (sono speranzoso a riguardo) Ultima modifica di blocc0 : 03-04-2021 alle 10:02. |
||
03-04-2021, 12:10 | #5 |
Member
Iscritto dal: Aug 2009
Messaggi: 50
|
ora sto postando da un altro pc con windows 7 (medesima rete) ma che non comunica con l'altro del quale ho fatto le scansioni. se clicco sui link fornitemi di EEK rimanda comunque alla pagina skimcoso, su questo pc con win7 non ho trovato infezioni.
oddio... ora sono sul pc con win7 e se clicco sul link mi rimanda a skimcoso... (ho aggiunto anche qui la riga in hosts e lo blocca) ma questa cosa dei link mi succede solo con questo forum a dire il vero EDIT il log di adwcleaner Ultima modifica di blocc0 : 06-04-2021 alle 17:30. |
03-04-2021, 13:12 | #6 |
Member
Iscritto dal: Aug 2009
Messaggi: 50
|
Scollegato da wifi cellulari e tablet, PC . Resettato manualmente il modem hub fibra Tim e cambiato password.
Ora ho il PC con win 10 acceso, perché ho cambiato la password Al momento di cambio password Chrome mi dice: Cambia la password (admin, admin di default) a causa di una violazione di dati su un sito o app è stata esposta. Chrome ti consiglia di cambiare subito la password (dava sito non sicuro il 192.168.1.uno) cambiata subito Comunque quel redirezionamento mi accadeva solo su link che ho postato di MediaFire in questo forum e su un paio cliccati da te postati. Per ora sono scollegati 3 cellulari, 2 iPad, 1kindle, 1 laptop con Linux, 1 Win7. 1 win10 desktop attivo Poi potrò ricollegare tablet e Kindle al WiFi? EDIT da questo pc con win10 cliccando sul link di mediafire che ho postato sopra ora mi rimanda diretto a quella pagina e non ad altre, spero sia sia risolta la faccenda, anche quello con win7 mi manda direttamente a mediafire senza redirezionamento a strani siti ora mi chiedono di poter riconnettere il laptop al wifi e debbo farlo, spero non accada nulla di male Ultima modifica di blocc0 : 06-04-2021 alle 17:30. |
03-04-2021, 15:06 | #7 |
Member
Iscritto dal: Aug 2009
Messaggi: 50
|
da autoruns tolto i collegamenti in giallo (obsoleti/mancanti)
messo i dns di google Ultima modifica di blocc0 : 06-04-2021 alle 17:31. |
03-04-2021, 15:54 | #8 |
Member
Iscritto dal: Aug 2009
Messaggi: 50
|
in questo log se clicco su "Microsoft" che è in blu, anche se è testo copiato e incollato come il resto del log, passo sopra il cursore e in basso vedo che rimanderebbe al sito microsoft ma in realtà cliccandoci sopra rimanda a quel sito là... veramente inizio a pensare di formattare e rimettere tutto pulito.
PS.visto che la stessa situazione di vedere nomi di programmi in blu in parti di log, la ho sul telefono non è che sono pubblicità del forum che ad ogni click prende monetizzazione? Non ho cliccato da telefono ma ricordo che molto tempo fa in altri forum uno scriveva di un prodotto e passandoci il cursore mettevano l'annuncio del prodotto. Non ricordo bene ma erano ads di anni fa Ultima modifica di blocc0 : 06-04-2021 alle 17:31. |
03-04-2021, 17:33 | #9 |
Member
Iscritto dal: Aug 2009
Messaggi: 50
|
confermo che i DNS erano quelli di Google in dos
connesso alla rete c'era solo il pc con win10 e tutti gli altri dispositivi scollegati per le connessioni attive non ho idea sinceramente, spero siano i vari programmi installati o servizi/app di win10 che comunicano ho fatto netstat dopo un paio di minuti come da istruzioni senza avviare programmi ma in modo normale, magari riprovo da provvisoria con rete ho provato su un altro sito a cliccare su link che indirizzano a programmi free, da quella lista nessun reindirizzamento, praticamente me lo fa solo in questo forum per ora. Ultima modifica di blocc0 : 06-04-2021 alle 17:32. |
04-04-2021, 08:00 | #10 | |
Member
Iscritto dal: Aug 2009
Messaggi: 50
|
si resettai manualmente tenendo premuto 30sec il tasto sul modem
https://forums.malwarebytes.com/topi...omment-1448684 qui dice che cs9_wac_phicdn_net (messo - al posto di .) è un falso positivo di malwarebites en.wikipedia.org/wiki/Skimlinks qui descrive skimcoso come "is a content monetization platform for online publishers" quindi verosimilmente non è infetto il mio sistema, quanto sono cose appartenenti al forum che monetizza sui link postati con redirect https://www.marshallforum.com/thread....111203/page-2 cito l'ultimo messaggio di questo forum dove ne parlano Quote:
non mi sarebbe dispiaciuto sapere in anticipo: "su questo forum se reindirizza non è malware ma è per sostenerci economicamente con pubblicità" attendo la risposta di un moderatore o chi di dovere per conferma, grazie |
|
06-04-2021, 17:02 | #11 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
discussione spostata
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
06-04-2021, 17:39 | #12 |
Senior Member
Iscritto dal: Jul 2002
Messaggi: 5605
|
Sul forum di MBAM indicano la prima rilevazione di quel sito web che avete bloccato negli hosts come falso positivo:
https://forums.malwarebytes.com/topi...9wacphicdnnet/ Per il resto, buon lavoro, seguo curioso. |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:26.