Malaware JS/Adware.Agent.AA

[Cippore]

Grazie 1000.
Domani credo di riuscire provare.

Un dubbio... nei suggerimenti passati mi segnalavi il percorso di programmi da rimuovere ma io non ne li trovavo. Come li individuò?

Es

[Cippore]

Grazie 1000.
Domani credo di riuscire provare.

Un dubbio... nei suggerimenti passati mi segnalavi il percorso di programmi da rimuovere ma io non me li trovavo. Come li individuò?

Es
dori 0.5.11 Christian Dywan C:\Program Files (x86)\Midori\bin\ 0.5.11 20/08/2017 110,9 MB
Minecraft for Windows 10 Microsoft Studios C:\Program Files\WindowsApps\Microsoft.MinecraftUWP_1.5.300.0_x64__8wekyb3d8bbwe 1.5.0.300 09/08/2018 184,9 MB
Mixed Reality Portal Microsoft Corporation C:\Windows\SystemApps\Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy 10.0.1.17134 12/04/2018 8,9 MB
PDF Architect 5 Create Module pdfforge GmbH C:\Program Files\PDF Architect 5\ 5.0.28.34044 07/08/2017 67,2 MB
PDF Architect 5 Edit Module pdfforge GmbH C:\Program Files\PDF Architect 5\ 5.0.28.34044 07/08/2017 8,1 MB
PDF Architect 5 View Module pdfforge GmbH C:\Program Files\PDF Architect 5\ 5.0.28.34044 07/08/2017 109,1 MB

O meglio alcuni di questi li vedevo nell'elenco programmi da disinstallare altri no.
Da dove prendevi il percorso delle cartelle ?

Comunque sempre grazie. Ciao

[Cippore]

Quote:

Originariamente inviato da Phoenix2005

Subito dopo, esegui una scansione online delle “commonports” via ShieldsUP!! in modo da verificare la presenza di eventuali porte aperte dalle quali potrebbe essere passata (o ripassare...) l'infezione

Se una o più porte dovessero risultare non-stealth, posta l'immagine del portscan effettuato via ShieldsUP!!, altrimenti non è necessario (nel caso ricordati di oscurare dal report il tuo IP).

CIAO Phoenix,
fatto il test delle common ports ma ce ne sono 2 aperte e un pacco di chiuse ... oltre alle stealth. che significa ? vedi allegato
ciao ciao

[Cippore]

Quote:

Originariamente inviato da Phoenix2005

Una volta finito riavvia Windows in modalità normale ed esegui nuovamente la scansione con HiJackThis e posta il log aggiornato.

Ciao Phoenix
Riprendo la pulizia del notebook Asus dopo averlo usato un poco.
Allego i log di wiseuninsraller e giustizia.
Che mi dici ? .... quando puoi ...
Ciao http://cloud.tapatalk.com/s/5b9eac85...20notebook.txthttp://cloud.tapatalk.com/s/5b9eacb2...20notebook.txt

Inviato dal mio SM-T815 utilizzando Tapatalk

[Cippore]

Quote:

Originariamente inviato da Cippore

Ciao Phoenix
Riprendo la pulizia del notebook Asus dopo averlo usato un poco.
Allego i log di wiseuninsraller e giustizia.
Che mi dici ? .... quando puoi ...
Ciao http://cloud.tapatalk.com/s/5b9eac85...20notebook.txthttp://cloud.tapatalk.com/s/5b9eacb2...20notebook.txt

Inviato dal mio SM-T815 utilizzando Tapatalk

Ecco l'altro file http://cloud.tapatalk.com/s/5b9eae5b...20notebook.txt

Inviato dal mio SM-T815 utilizzando Tapatalk

[Cippore]

Quote:

Originariamente inviato da Cippore

Ecco l'altro file http://cloud.tapatalk.com/s/5b9eae5b...20notebook.txt

Inviato dal mio SM-T815 utilizzando Tapatalk

Segnalo che c'è un maledetto popup che ogni tanto apre una notifica nell'angolo sx basso dello schermo con una scritta del tipo www.chrome59zippyshare... che non riesco ad individuare x eliminare..... speriamo che la cura....
Ciao

Inviato dal mio SM-T815 utilizzando Tapatalk

[Cippore]

Quote:

Originariamente inviato da Phoenix2005

NOTA: il report 1537125554_lista20asus20notebook.txt e il report 1537125979_lista20asus20notebook.txt sono identici…

non mi ricordo più quali devo postare ... me lo ricordi ?


Su quale PC? Suppongo su uno dei PC non ancora puliti...in ogni caso vai in modalità provvisoria e disinstalla tutti i browser installati sulla macchina in questione utilizzando al solito Wise Uninstaller ed esegui una pulizia tramite CClenarer e poi una scansione AV tramite EEK (aggiornato) e nel caso elimina le voci infette; poi riavvia il sistema in modalità normale ed installa e configura un solo browser, possibilmente non Chrome ma la versione portable di Firefox: https://portableapps.com/apps/intern...x-portable-esr

sì sì ancora da pulire. quello che stiamo guardando ora. provo a cambiare browser. ma firefox è meglio di chrome ? meno problemi ? certo uno installato da usare normalmente serve.

provo a pulire e ripostare i log ... ma ricordami quali ....

Ciao e buona pulizia.

ciao e grazie ancora

[Cippore]

[quote=Phoenix2005;45769249]In entrambi e casi si tratta di funzionalità legittime ma pericolose, specie se lasciate attive non avendone necessità o peggio, non sapendo neppure di averle attive! Quindi la domanda è semplice: hai hardware IoT collegato in rete [1] oppure utilizzi programmi che fanno uso di FTP o TELNET?

beh ... NON SO.
Meglio: uso i pc di lan di casa sia x scaricare e passare files da uno all'altro ma ho anche un paio di telecamere ip di rete (cinesi ma credo discrete) collegate alla lan che possono registrare ed hanno una sd "esplorabile"


a) Se la risposta è SÌ, allora le porte e relativi hardware/software vanno messi in sicurezza tramite un Firewall Hardware + VPN

?????? NON ho idea di come si faccia questa cosa ....

b) Se la risposta è NO, allora hai un serio problema di sicurezza perché la tua rete presenta porte, protocolli e funzionalità completamente fuori controllo che andrebbero sistemate quanto prima...per lo meno tramite la configurazione di un Firewall Software: va bene anche quello integrato in Windows (se poi vuoi risultare stealth su tutte le porte ti occorrerà specificatamente un Firewall Hardware).

... una parola (x me) .....


Sempre in riferimento alle porte aperte, prima di procedere con la pulizia via HijackThis, esegui questo semplice test:

1) Spegni i PC e gli apparati di rete.
2) Riaccendi il tutto (partendo dal router) - dopo esserti assicurato di avere la connettività internet e senza eseguire alcun programma - apri un prompt dei comandi del DOS come amministratore, poi digita:

TUTTI ?? tra cell dei figli ... tablet .... fissi e portatili .... ci metto un secolo. .. e poi me ne scappa sempre qualcuno. Possibile spegnerli e provare con alcuni ?



netstat -abn > c:\N-log-1a.txt
+ invio

...poi il comando:

netstat -anovb > c:\N-log-1b.txt
+ invio

A questo punto dovrebbero essersi generati due distinti file di log con percorso diretto sulla partizione C: N-log-1a.txt e N-log-1b.txt. Postali entrambi: i log servono a verificare se ci siano o meno processi in esecuzione responsabili dell'apertura delle porte 21/23 e, se sì, quali siano.

NOTA: i comandi in questione vanno eseguiti su ogni macchina (al limite rinomina i successivi gruppi di log dei vari PC così: N-log-2a + N-log-2b, N-log-3a + N-log-3b, etc...insomma...ricordati di associarli rinominandoli per gruppi magari aggiungendoci il nome della macchina scansionata, altrimenti sarà difficile poi capire a quale PC appartengano i singoli report).

CI PROVERO'

Report: 1537125554_lista20asus20notebook.txt

- DA AGGIORNARE -

I driver scheda video: disinstallare tramite Wise Uninstaller tutti i componenti video AMD da... AMD Catalyst Control Center Advanced Micro Devices, Inc. C:\Program Files (x86)\ATI Technologies\ 2015.1104.1643.30033 18/06/2018 90,3 MB ...sino a... ccc-utility64 Advanced Micro Devices, Inc. C:\Program Files\AMD\ 2015.0804.21.41908 25/11/2017 842,0 KB

...per poi installare gli ultimi driver disponibili per la scheda video.

... eh eh .... non proprio facile x me ... vai a scoprire dove sono quelli di "nvidia radeon hd 7640g" ==> trovo sempre file di installazione da 2/300 mega che certamente contengono di tutto....


IMPORTANTE: in fase di setup, se possibile, esegui un'installazione personalizzata dei soli driver video (senza utility o componenti extra).

vedi ultima mia nota...

PS: MA come faccio a lasciare in evidenza la tua parte di risposta per aggiungere il mio commento lì vicino "ma staccato" ? Per praticità di lettura di chi legge (tu o altri) che avrebbe immediata evidenza di domanda e risposta.

[Cippore]

CIAO PHOENIX

OK ecco qui in allegato i due file programmi ed highjack del notebook asus in lavorazione.

qualche programma l'ho tenuto ,,, non so se ho seguito tutti i passaggi (credo di sì).

quando riesci fammi sapere che pasticcio sto facendo o meno.

[Cippore]

Quote:

Originariamente inviato da Phoenix2005

Se parliamo specificatamente di sicurezza e privacy mille volte meglio Firefox piuttosto che Chrome...meglio ancora se parliamo della versione portatile di Firefox con sopra aggiunti questi add-on:

NoScript
https://addons.mozilla.org/en-US/fir...ddon/noscript/

HTTPS Everywhere
https://addons.mozilla.org/en-US/fir...ps-everywhere/

uBlock Origin
https://addons.mozilla.org/en-US/fir...ublock-origin/

Ok installo Firefox ... ma non portable causa utilizzo famiglia + semplice.

Quote:

Originariamente inviato da Phoenix2005

Brutte notizie: è proprio da lì che possono arrivare i problemi (leggasi: malware) e, molto probabilmente, sono le telecamere IP a forzare l’apertura delle porte 21/23 e quindi a lasciarti esposto a potenziali attacchi portati via internet.

Nome del costruttore e modello delle telecamere IP in questione?

FUSAFE model FS-F2
https://www.aliexpress.com/item/FUSA...806425264.html

Quote:

Originariamente inviato da Phoenix2005

N.B. Molti router offrono anche funzionalità di Firewall Hardware: tuttavia per l’eventuale configurazione del tuo router in tal senso (sempre che sia possibile) dovresti rivolgerti nell’apposita sezione del forum di Hardware Upgrade: https://www.hwupgrade.it/forum/forumdisplay.php?f=123

mio router Netgear D8500 credo piuttosto buono ... forte ci penserò più avanti alla configurazione esperta

Quote:

Originariamente inviato da Phoenix2005

Una volta portata a termine l’eliminazione, per scrupolo - preferibilmente dalla modalità provvisoria - esegui una nuova scansione sia con EEK che con malwarebytes (versione free): https://www.malwarebytes.com/

EEK ok. trova un solo pup KMSAuto ,,, che un amico dice di lasciare ... dall'installazione del SO. boh. c'e' sempre stato.

Quote:

Originariamente inviato da Phoenix2005

A proposito: il popup www-chrome59zippyshare si manifestava sul PC Asus appena pulito? adesso ti compare ancora?

non so. sempre tenuto scollegato dalla rete ora provo x installare firefox e sumatra, poi ti dico.

Quote:

Originariamente inviato da Phoenix2005

Se hai difficoltà limitati ad installare l’ultima versione disponibile dei driver video scaricandoli dal sito del produttore (l’installazione andrà a sovrascrivere i vecchi driver video con quelli nuovi).

il fatto è che non c'e' un file o pochi file da scaricare per quella sola sk video ma quel superfile che poi chiede cosa installare (credo) non so se lì dentro si possa scegliere solo il minimo necessario.

Quote:

Originariamente inviato da Phoenix2005

L’ideale è partire con l’intera infrastruttura di rete avviata da zero ma se hai difficoltà puoi spegnere il router e poi la singola periferica, poi riaccendere in sequenza il router e la singola periferica da verificare per poi effettuarne la scansione delle porte aperte tramite i due comandi netstat: assicurati - prima di effettuare i test - di avere la connettività internet operativa: i log in questione sono fondamentali per valutare la situazione attuale della tua rete e prendere i provvedimenti necessari a limitare l’esposizione delle singole macchine su internet.

,,,, eh una parola. proverò ,,,,,

[Dan1979]

Kmsauto è un attivatore di windows....o programmi windows...

Ma che problemi rimangono?

[Cippore]

Quote:

Originariamente inviato da Phoenix2005

A prescindere dalla versione gli add-on suggeriti installali comunque.



Informazioni se ne trovano pochine ma penso sia proprio l'IP CAM a tenerti aperta la porta FTP...ed è tutto sommato normale, visto le funzionalità di cui dispone...meno normale (ma non sono certo un esperto del settore) è l'apertura 24/h su 24/h della porta 23 (collegata col telnet)...così d'istinto mi sa tanto di ingresso privilegiato per la classica backdoor non documentata...infatti, se dai un'occhiata a questa ricerca (che “guarda caso” analizza proprio IP CAM cinesi)...

https://pierrekim.github.io/blog/201...head-0day.html

...nella primissima parte dell'analisi si legge: "Update (Mar 16, 2017): Following the strong requests from a specific vendor, the complete list of 1250 affected camera models has been removed".

1250 modelli di IP cam cinesi hackerabili...nel mucchio rientrerà anche la tua? Decidi tu.

Ma non finisce qui, infatti poi continua con: “By default, telnet is running on the camera.” E subito dopo: “One backdoor account exists in the camera“.

FTP, telnet, backdoor...la tipica telecamera cinese, insomma! personalmente un aggeggio del genere lo terrei scollegato da internet, spento e...dentro la confezione nella quale è arrivato!



Ho dato un'occhiata al volo al manuale e, oltre al Parental Control con la possibilità di filtrare i domini, il D8500 integra un Firewall di base ma adeguato alle tue attuali esigenze...quindi direi che è ok.



Non c'era certo bisogno di EEK per accorgersene: infatti risultava anche dal log HiJackThis ma non te l'ho segnalato per lo stesso motivo per il quale il tuo amico ti ha detto di non rimuoverlo.



Se trovi la gestione dei driver video troppo complessa non stare a preoccuparti: puoi restare anche con i vecchi driver oppure eseguire un setup standard.


P.S.

...ma le password di accesso alle IP CAM le hai cambiate oppure hai lasciato quelle di default?

... Ok x Firefox.
... camere IP: non erano neanche a prezzo stracciato.60 70 euro e piu'. Anzi Sono 3 xche' ce' pure una Konlen. CAratteristiche analoghe.
... certo psw subito cambiate
... router rileggero' con.calma
... proprio non e' attuabile una precauzione mantenendole? E poi che se me sa di queste cose quando compra .... un utente normale?

Ciao

Inviato dal mio M9pro utilizzando Tapatalk