Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?

Un viaggio in Tesla dal nord alla Sicilia, senza Supercharger e spendendo 50 euro
Un viaggio in Tesla dal nord alla Sicilia, senza Supercharger e spendendo 50 euro
Percorrere l'Italia da nord a sud in 11 giorni, usando una Tesla Model 3 Long Range senza mai ricaricare ad un Supercharger? E' possibile, nonostante la diffusione delle soluzioni di ricarica pubbliche non così capillari come vorremmo. Ecco il racconto delle mie vacanze: 4.000km in elettrico
Ghost of Tsushima: Director's Cut, le meraviglie di Iki su PS5 - Recensione
Ghost of Tsushima: Director's Cut, le meraviglie di Iki su PS5 - Recensione
Dopo il clamoroso successo riscontrato su PS4, Ghost of Tsushima approda su PlayStation 5 con la Director's Cut, riedizione che introduce diverse migliorie - non solo tecniche - e un'espansione nuova di zecca. Un pacchetto che farà gola a molti utenti che non hanno ancora vestito i panni di Jin Sakai, ma anche a chi ha già sviscerato, e amato, l'avventura dello Spettro.
Xiaomi 11T Pro, la ricarica da 120W è pazzesca ma non basta. La recensione
Xiaomi 11T Pro, la ricarica da 120W è pazzesca ma non basta. La recensione
Ha diverse peculiarità, Xiaomi 11T Pro, ma fatica a fare breccia in chi lo usa. Potenza da vendere e ricarica fulminea sono due doti molto interessanti, ma la tendenza al surriscaldamento rappresenta un sensibile compromesso per chi vuole un'esperienza d'uso senza sacrifici. Il prezzo di acquisto, specie al day-one, è interessante, ma in seguito il listino diventa troppo elevato per quello che offre lo smartphone. Eppure la stessa Xiaomi offre già proposte più convenienti a un prezzo più accattivante. Ecco la nostra recensione
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 02-04-2021, 17:48   #1
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
microsoft photos trojan

Buonasera, poco fa mentre guardavo su pc delle foto scattate con il cellulare (passate dall'account di google al computer) clicco sulla foto e ingrandisco.

malwarebytes mi fa notare con un popup

Quote:
-Dettagli log-
Data evento di protezione: 02/04/21
Ora evento di protezione: 18:39
File di log: 06014df9-93d2-11eb-8ecd-d05099853a59.json

-Informazioni software-
Versione: 4.3.0.98
Versione componenti: 1.0.1236
Aggiorna versione pacchetto: 1.0.39012
Licenza: Trial

-Informazioni sistema-
SO: Windows 10 (Build 19042.867)
CPU: x64
File system: NTFS
Utente: System

-Dettagli siti web bloccati-
Sito web nocivo: 1
, C:\Program Files\WindowsApps\Microsoft.Windows.Photos_2020.20120.4004.0_x64__8wekyb3d8bbwe\Microsoft.Photos.exe, Bloccato, -1, -1, 0.0.0, ,

-Dati sito web-
Categoria: Trojan
Dominio: cs9.wac.phicdn.net
Indirizzo IP: 93.184.220.29
Porta: 80
Tipo: In uscita
File: C:\Program Files\WindowsApps\Microsoft.Windows.Photos_2020.20120.4004.0_x64__8wekyb3d8bbwe\Microsoft.Photos.exe



(end)
qualcuno ha idea di cosa significhi? debbo preoccuparmi? grazie
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 02-04-2021, 17:49   #2
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
ora questo

Quote:
Malwarebytes
www.malwarebytes.com

-Dettagli log-
Data evento di protezione: 02/04/21
Ora evento di protezione: 18:49
File di log: 56999062-93d3-11eb-a35a-d05099853a59.json

-Informazioni software-
Versione: 4.3.0.98
Versione componenti: 1.0.1236
Aggiorna versione pacchetto: 1.0.39012
Licenza: Trial

-Informazioni sistema-
SO: Windows 10 (Build 19042.867)
CPU: x64
File system: NTFS
Utente: System

-Dettagli siti web bloccati-
Sito web nocivo: 1
, C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe, Bloccato, -1, -1, 0.0.0, ,

-Dati sito web-
Categoria: Trojan
Dominio: cs9.wac.phicdn.net
Indirizzo IP: 93.184.220.29
Porta: 80
Tipo: In uscita
File: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe



(end)
scansionato completamente con avira, quando apro l'applicazione di avira per gestione password, malwarebytes blocca anche avira

-Dettagli log-
Data evento di protezione: 02/04/21
Ora evento di protezione: 20:02
File di log: 94555756-93dd-11eb-8b49-d05099853a59.json

-Informazioni software-
Versione: 4.3.0.98
Versione componenti: 1.0.1236
Aggiorna versione pacchetto: 1.0.39012
Licenza: Trial

-Informazioni sistema-
SO: Windows 10 (Build 19042.867)
CPU: x64
File system: NTFS
Utente: System

-Dettagli siti web bloccati-
Sito web nocivo: 1
, C:\Program Files (x86)\Avira\Security\Avira.Spotlight.UI.Application.exe, Bloccato, -1, -1, 0.0.0, ,

-Dati sito web-
Categoria: Trojan
Dominio: cs9.wac.phicdn.net
Indirizzo IP: 93.184.220.29
Porta: 80
Tipo: In uscita
File: C:\Program Files (x86)\Avira\Security\Avira.Spotlight.UI.Application.exe
(end)

Ultima modifica di blocc0 : 02-04-2021 alle 19:07.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 02-04-2021, 22:25   #3
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Ciao. Per prima cosa non utilizzare il PC per effettuare transizioni finanziare (evita anche di effettuare semplici accessi on-line alla tua banca o a siti istituzionali). Nel caso - se lo reputi necessario - predisponi un backup dei tuoi file importanti/di lavoro.

1) Apri il file di HOSTS (percorso → c:\Windows\System32\drivers\etc\) con il Blocco note (od altro editor di testo) ed inserisci la seguente riga:

0.0.0.0 93.184.220.29 #cs9.wac.phicdn.net

Poi salva il file di HOSTS così modificato: questa operazione serve a bloccare l’IP sospetto.

2) Disinstalla Avira

3) Scarica & Installa EEK su pendrive esterna, poi aggiornalo

4) Scarica & Installa (copia) Kaspersky TDSSKiller su pendrive esterna

5) Scarica & Installa (copia) AdwCleaner su pendrive esterna

Una volta preparata la pendrive:

- Disabilita internet (se hai una rete cablata, stacca il cavo di rete).
- Avvia Windows in modalità provvisoria.
- Esegui una scansione completa (tutte le partizioni) con EEK e una standard con gli altri due software.
- Elimina tutti i file rilevati come infetti dai tre programmi.
- Posta i relativi log ottenuti (ma solo se risultano infezioni).
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 07:47   #4
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
ciao, onestamente ho ricordato che ieri quando ho installato malwarebytes aggiornandolo all'ultima versione ho cliccato sulla protezione massima fornita dalla trial premium, flaggando tutti i tipi di controllo.

essendo che ogni contenuto web (tipo vedo foto mie su win10, cerco qualcosa da start o semplicemente apro avira) che tentava di caricare lo bloccava.
non vorrei fosse eccessivamente invasivo, memore di come avast un tempo identificasse il blocconote come trojan solo perchè con tale strumento volendo si può compilare qualcosa.

quindi ho disinstallato malwarebytes perchè avira dopo una scansione completa non trova nulla e anche la sicurezza di windows defender non dava nulla.

appare anche se clicco su AdwCleaner mentre non lo fa se clicco su "Kaspersky TDSSKiller" , mentre se li cerco da google nessun problema

Ultima modifica di blocc0 : 06-04-2021 alle 17:29.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 09:18   #5
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
aggiorno:
ho seguito le istruzioni e
EEK resta in background con 18,4 mb di memoria in uso ma non appare nulla, non so se sta scansionando (ho avviato come amministratore in mod provvisoria, provando sia da pen drive che direttamente da desktop)
quindi sto scansionando non da provvisoria e sembra funzionare (cpu al 100% di utilizzo e massima priorità)

EDIT

EEK ha terminato dopo una mezz'oretta non ha trovato problemi

(da modalità provvisoria) Kaspersky TDSSKiller non ha trovato problemi

(da modalità provvisoria) AdwCleaner ha messo in quarantena questi

Spoiler:


posso reinstallare avira e sentirmi sufficientemente sereno? (sono speranzoso a riguardo)

Ultima modifica di blocc0 : 03-04-2021 alle 10:02.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 11:48   #6
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Quote:
Originariamente inviato da blocc0 Guarda i messaggi
posso reinstallare avira e sentirmi sufficientemente sereno? (sono speranzoso a riguardo)
Purtroppo no. Molto probabilmente il sistema è ancora infetto: se hai la pazienza di seguirmi però lo possiamo pulire assieme.

Nella migliore delle ipotesi sei infetto con un adware/tracker nella peggiore sei dentro una botnet. Per il momento propendo per la prima ipotesi. Il redirect del browser su "httpx://go.skimresources/(...ETC…)"...



...parla chiaro.

Come prima cosa ti consiglio di utilizzare un programma specifico per fare gli screenshot (funziona sia in modalità normale che provvisoria e non necessita di installazione → PikPic

IMPORTANTE: Se ne hai la possibilità, scarica i programmi necessari alla pulizia del sistema tramite un altro PC e cerca di mantenere il PC infetto il più possibile offline. Non tenere il PC infetto collegato in rete ad altri PC o ad altri dispositivi.

1) Avvia Windows in modalità normale
2) Non eseguire alcun programma
3) Attiva internet, assicurati che la linea sia operativa ed aspetta un paio di minuti
4) apri un prompt del dos come amministratore ed esegui il seguente comando:

Codice:
tasklist /svc > C:\pro+pid+serv.txt
Posta il file di log “pro+pid+serv.txt” così ottenuto (lo trovi in C:\).

Scarica Sysinternals Autoruns Autoruns

5) Se internet è attiva, disabilitala

6) Esegui Autoruns64.exe come amministratore, poi assicurati si essere sulla TAB “everything” e salva il report in formato *.arn:



Zippa il file così ottenuto e postalo su di un qualsiasi servizio di file hosting; prima di postare il link (qui sul forum) assicurati che il file sia effettivamente scaricabile.

7) Edita nuovamente il file di HOSTS integrando le seguenti righe:

0.0.0.0 go.skimresources.com #go.skimresources
0.0.0.0 skimresources.com #skimresources

PS
Se riesci, posta anche il report in formato .txt di AdwCleaner (il report lo trovi \c:\AdwCleaner\) poi elimina i file infetti dalla cartella di quarantena di AdwCleaner.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 12:10   #7
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
ora sto postando da un altro pc con windows 7 (medesima rete) ma che non comunica con l'altro del quale ho fatto le scansioni. se clicco sui link fornitemi di EEK rimanda comunque alla pagina skimcoso, su questo pc con win7 non ho trovato infezioni.


oddio... ora sono sul pc con win7 e se clicco sul link mi rimanda a skimcoso... (ho aggiunto anche qui la riga in hosts e lo blocca)

ma questa cosa dei link mi succede solo con questo forum a dire il vero


EDIT
il log di adwcleaner

Ultima modifica di blocc0 : 06-04-2021 alle 17:30.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 12:31   #8
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Quote:
Originariamente inviato da blocc0 Guarda i messaggi
ora sto postando da un altro pc con windows 7 (medesima rete) ma che non comunica con l'altro del quale ho fatto le scansioni. se clicco sui link fornitemi di EEK rimanda comunque alla pagina skimcoso, su questo pc con win7 non ho trovato infezioni.
1) Spegni tutti i PC
2) Resetta il router allo stato di fabbrica
3) Da questo momento in poi non tenere collegati ai PC apparati esterni che possono avere o hanno avuto accesso ad internet (IoT, smartphone)
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 13:12   #9
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
Scollegato da wifi cellulari e tablet, PC . Resettato manualmente il modem hub fibra Tim e cambiato password.
Ora ho il PC con win 10 acceso, perché ho cambiato la password

Al momento di cambio password Chrome mi dice:
Cambia la password (admin, admin di default) a causa di una violazione di dati su un sito o app è stata esposta. Chrome ti consiglia di cambiare subito la password (dava sito non sicuro il 192.168.1.uno) cambiata subito

Comunque quel redirezionamento mi accadeva solo su link che ho postato di MediaFire in questo forum e su un paio cliccati da te postati.

Per ora sono scollegati 3 cellulari, 2 iPad, 1kindle, 1 laptop con Linux, 1 Win7. 1 win10 desktop attivo
Poi potrò ricollegare tablet e Kindle al WiFi?


EDIT
da questo pc con win10 cliccando sul link di mediafire che ho postato sopra ora mi rimanda diretto a quella pagina e non ad altre, spero sia sia risolta la faccenda, anche quello con win7 mi manda direttamente a mediafire senza redirezionamento a strani siti
ora mi chiedono di poter riconnettere il laptop al wifi e debbo farlo, spero non accada nulla di male

Ultima modifica di blocc0 : 06-04-2021 alle 17:30.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 14:33   #10
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Quote:
Originariamente inviato da blocc0 Guarda i messaggi
Ora il paura a cliccarci nuovamente, detto con sincerità.
Tranquillo, sei in buone mani! Devi solo seguire/eseguire con precisione le mie istruzioni:

Scarica QuickSetDNS

ed imposta dei DNS sicuri, es.

DNS pubblici di Google
8.8.8.8 – 8.8.4.4
DNS pubblici di Quad9
9.9.9.9 – 149.112.112.112
DNS pubblici di Cloudfare
1.1.1.1 - 1.0.0.1

...poi seleziona con il mouse il gruppo DNS prescelto ed attivalo. Assicurati che i DNS siano stati effettivamente modificati tramite una specifica query via prompt dei comandi:

netsh interface ip show dns

Se, ad esempio, hai preimpostato i DNS Google nel box dos ti dovrà apparire:

Configurazione per l'interfaccia (...)
Server DNS configurati statisticamente: 8.8.8.8 - 8.8.4.4

Se i DNS risulteranno essere quelli giusti e voluti, allora scarica la versione PE di Wise Program Uninstaller (link diretto) Wise Program Uninstaller

Disabilita la connettività internet ed estrai il contenuto dello zip e - tramite Wise Program Uninstaller - disinstalla tutti i browser installati su tutte le macchine della rete (eventualmente esegui un backup degli indirizzi dei “preferiti” dei vari browser, prima di procedere).

Tra un "uninstall" e l'altro, non chiudere immediatamente il programma ma aspetta che faccia la scansione finale delle voci di registro collegate con le disinstallazioni software appena effettuate e - se Wise ti proporrà delle voci di registro da eliminare - eliminale tutte. Quest'ultimo passaggio è MOLTO importante.

Sempre tramite il menù contestuale (mouse tasto dx) Wise Program Uninstaller crea un log dei programmi presenti sulle macchine infette (quelle del redirect) e posta il file/files di testo qui sul forum:



Abilita la connettività internet, scarica la versione PE di Firefox ESR Firefox ESR Portable
La versione italiana la trovi in fondo alla pagina: installala (essendo PE, la puoi mettere anche su pendrive). A questo punto non ti resta che verificare il persistere o meno delle anomalie (dal redirect a warning di sicurezza vari ed eventuali) utilizzando la versione di Firefox ESR appena installata.


PS

Ti rammento che all’appello manca ancora un log...apri un prompt dei comandi del dos come amministratore ed esegui il seguente comando...

Codice:
tasklist /svc > C:\pro+pid+serv.txt
...e poi posta il file di log “pro+pid+serv.txt” così ottenuto (lo trovi in C:\) qui sul forum.

Nel mentre, puoi iniziare ad eliminare le seguenti voci, via Autoruns (n.b. il fix sulle voci è molto limitato perché non sono a conoscenza dei programmi che utilizzi o non utilizzi):



Se hai dubbi su come effettuare una delle procedure sopra descritte, chiedi pure.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 15:06   #11
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
da autoruns tolto i collegamenti in giallo (obsoleti/mancanti)

messo i dns di google

Ultima modifica di blocc0 : 06-04-2021 alle 17:31.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 15:54   #12
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
in questo log se clicco su "Microsoft" che è in blu, anche se è testo copiato e incollato come il resto del log, passo sopra il cursore e in basso vedo che rimanderebbe al sito microsoft ma in realtà cliccandoci sopra rimanda a quel sito là... veramente inizio a pensare di formattare e rimettere tutto pulito.

PS.visto che la stessa situazione di vedere nomi di programmi in blu in parti di log, la ho sul telefono non è che sono pubblicità del forum che ad ogni click prende monetizzazione? Non ho cliccato da telefono ma ricordo che molto tempo fa in altri forum uno scriveva di un prodotto e passandoci il cursore mettevano l'annuncio del prodotto. Non ricordo bene ma erano ads di anni fa

Ultima modifica di blocc0 : 06-04-2021 alle 17:31.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 16:52   #13
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Quote:
Originariamente inviato da blocc0 Guarda i messaggi
log di FRST
FRST imho è troppo potente: si rischia di far facilmente danni. Molto meglio HiJackThis Fork v3
Esegui una scansione con HiJackThis e poi posta il log.

Quote:
Originariamente inviato da blocc0 Guarda i messaggi
da autoruns tolto i collegamenti in giallo (obsoleti/mancanti)
Elimina anche le altre voci presenti nello screenshot di Autoruns.

Quote:
Originariamente inviato da blocc0 Guarda i messaggi
i browser provo a metterci mano sui due pc (w10 e w7) perchè su linux non sono capace di fare nulla
Una volta sistemato Windows forse allora ti conviene reinstallare tutti i Linux (così risolvi il problema alla radice)...altrimenti rischi che l’infezione esca dalla porta per poi rientrare dalla finestra...

Quote:
Originariamente inviato da blocc0 Guarda i messaggi
il log che mi ero dimenticato (…) log di wiseuninstaller
Ok, do un’occhiata ad entrambi i log e poi ti faccio sapere.

Quote:
Originariamente inviato da blocc0 Guarda i messaggi
sul win10 ho tolto chrome e edge, avviato Firefox ESR Portable e fa ancora il redirect a "go.skimresources"
L’infezione è ancora attiva e molto probabilmente si trova (anche) sul router...quindi pur reinstallando Windows non risolveresti (oppure risolveresti temporaneamente…).

Hai eseguito sotto dos:

netsh interface ip show dns

a) I DNS riportati dalla query sono quelli di Google?
b) Resetta nuovamente il router tramite l’apposito pulsante.

Dammi conferma sui punti a-b.


Quote:
Originariamente inviato da blocc0 Guarda i messaggi
visto che la stessa situazione di vedere nomi di programmi in blu in parti di log, la ho sul telefono non è che sono pubblicità del forum che ad ogni click prende monetizzazione?
Tutti i dispositivi esterni alla rete (router/IoT/tablet/smartphone) potenzialmente infetti vanno resettati. Se li colleghi prima del reset e sono infetti, ti reinfetteranno le macchine. In questa fase non devi collegare nulla ai PC (tranne il router “resettato” a livello hardware). In sintesi:

- Prima si resetta il router a livello hardware
- Poi si risolve il problema su Windows/browser
- Infine - una volta risolta l'infezione sull'OS - si resettano a livello hardware tutti gli altri device.

Quote:
Originariamente inviato da blocc0 Guarda i messaggi
questo appare quando clicco a quella pagina dopo aver fatto netstat

Connessioni attive
Proto Indirizzo locale Indirizzo esterno Stato
TCP 127.0.0.1:49757 nome pc:65001 ESTABLISHED

CUT (...)
63 connessioni attive? Non poche...

Comunque la prova “netstat” andrebbe fatta così:

1) Spegni il PC
2) Aspetta qualche secondo
3) Avvia nuovamente Windows, assicurandoti di avere la connettività internet
4) Senza fare nulla/caricare programmi esegui subito netstat
5) Posta il log

A titolo comparativo, se sulla mia macchina eseguo l’operazione (punti 1 – 5) che ti ho appena suggerito di fare, ecco il risultato...

netstat:


0 connessioni attive e 0 byte di traffico sulla rete. E queste statistiche non cambiano neppure se lascio attiva la macchina per 24h di seguito...
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 17:33   #14
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
confermo che i DNS erano quelli di Google in dos

connesso alla rete c'era solo il pc con win10 e tutti gli altri dispositivi scollegati

per le connessioni attive non ho idea sinceramente, spero siano i vari programmi installati o servizi/app di win10 che comunicano
ho fatto netstat dopo un paio di minuti come da istruzioni senza avviare programmi ma in modo normale, magari riprovo da provvisoria con rete


ho provato su un altro sito a cliccare su link che indirizzano a programmi free, da quella lista nessun reindirizzamento, praticamente
me lo fa solo in questo forum per ora.

Ultima modifica di blocc0 : 06-04-2021 alle 17:32.
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 03-04-2021, 20:04   #15
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Apparentemente i log sono puliti , anche se per i miei gusti ci sono troppi processi che girano senza controllo e con l’OS che presenta qualche software di troppo.

Da disinstallare:

NVIDIA GeForce Experience 3.21.0.36 NVIDIA Corporation C:\Program Files\NVIDIA Corporation\Installer2\Display.GFExperience

Da disinstallare (nota: in caso di errore durante la procedura di disinstallazione procedere alla disinstallazione della voce succesiva):

Esperienza shell di Windows Microsoft Corporation C:\Windows\SystemApps\Microsoft.Windows.PeopleExperienceHost_cw5n1h2txyewy 10.0.423.19041 07/12/2019 520
Esperienza shell di Windows Microsoft Corporation C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy 10.0.610.19041 07/12/2019 25
Excel Excel C:\Users\Ut\AppData\Local\Microsoft\Edge\User Data\Default\Web Applications\_crx__leffmjdabcgaflkikcefahmlgpodjkdm\ 1.0 22/12/2020 48
Host esperienza dello Store Microsoft Corporation C:\Program Files\WindowsApps\Microsoft.StorePurchaseApp_12101.1001.21.0_x64__8wekyb3d8bbwe 12101.1001.0.21 13/03/2021 16
Hub di Feedback Microsoft Corporation C:\Program Files\WindowsApps\Microsoft.WindowsFeedbackHub_1.2009.10055.0_x64__8wekyb3d8bbwe 1.2009.0.10055 20/03/2021 30
Microsoft Edge DevTools Client Microsoft Corporation C:\Windows\SystemApps\Microsoft.MicrosoftEdgeDevToolsClient_8wekyb3d8bbwe 1000.19041.0.423 07/12/2019 10
Microsoft Edge Microsoft Corporation C:\Program Files\WindowsApps\Microsoft.MicrosoftEdge.Stable_89.0.774.68_neutral__8wekyb3d8bbwe 89.0.68.774 02/04/2021 59
Microsoft Edge Microsoft Corporation C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe 44.19041.0.423 07/12/2019 47
Suggerimenti Microsoft Microsoft Corporation C:\Program Files\WindowsApps\Microsoft.Getstarted_9.13.33161.0_x64__8wekyb3d8bbwe 9.13.0.33161 31/12/2020 18
Windows Feature Experience Pack Microsoft Windows C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy 120.2212.0.551 07/12/2019 17

Da disinstallare (ma solo se non utilizzati):

OBS Studio OBS Project C:\Program Files\obs-studio\bin\64bit\ 26.1.1 17/02/2021 65,89 MB
Blender Blender Foundation C:\Program Files\Blender Foundation\Blender 2.91\ 2.91.0 30/12/2020 530,61 MB
Discord Discord Inc. C:\Users\Ut\AppData\Local\Discord 0.0.309 26/03/2021 64,64 MB

Una volta terminata la fase di disinstallazione dei programmi, esegui una pulizia di sistema tramite (link diretto zip): Wise Disk Cleaner

...poi effettua una nuova verifica antimalware (prima in modalità provvisoria e poi in modalità normale) tramite AdwCleaner

Quote:
Originariamente inviato da blocc0 Guarda i messaggi
ho fatto netstat dopo un paio di minuti come da istruzioni senza avviare programmi ma in modo normale
Se – in modalità normale - non risultano connessioni attive...allora va più bene! altrimenti andrebbero identificate: potrebbero essere connessioni legittime (anche se imho - all'avvio di Windows - preferisco non avere connessioni attive in background, legittime o meno).

Quote:
Originariamente inviato da blocc0 Guarda i messaggi
per editare questo messaggio ho cliccato modifica ed è apparso un popup pubblicitario di googleadservices. potrebbe essere che in questo forum ci sono queste robe pubblicitarie invasive?
Non mi risulta...redirect con annessi popup di trading-online? Per usare un eufemismo è qualcosa di a dir poco “anomalo” e al 99% dovuto all’infezione.

Altra prova:

- Cancella la cartella di Firefox PE e reinstallalo da zero. Non eseguirlo.

- Avvia Windows in modalità provvisoria con supporto di rete/internet

- Al solito prima di procedere controlla i DNS con il comando:

netsh interface ip show dns

- Se i DNS sono OK, allora utilizza Firefox per navigare sui link/pagine che ti hanno causato/causano il redirect: se il problema si presenta anche in modalità provvisoria con Firefox appena reinstallato e i DNS di Google attivi...molto probabilmente la colpa - come già scritto - è del router infetto.

Quote:
Originariamente inviato da blocc0 Guarda i messaggi
il router attualmente non riesco a riavviarlo, provvederò domattina appena posso.
Confermi di aver già portato a termine almeno un reset hardware del dispositivo, quello che di norma si esegue con il pulsante di reset posto sul router? Te lo chiedo perché il reset hardware è diverso dal riavvio di cui parli...il riavvio software non rimuove l'infezione, il reset hardware invece sì: il pulsante di reset hardware lo devi tenere premuto per svariati secondi sino a che le luci dell’apparato non iniziano a lampeggiare...al limite fai riferimento alle istruzioni d’uso fornite assieme al router.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2021, 08:00   #16
blocc0
Member
 
Iscritto dal: Aug 2009
Messaggi: 50
si resettai manualmente tenendo premuto 30sec il tasto sul modem

https://forums.malwarebytes.com/topi...omment-1448684
qui dice che cs9_wac_phicdn_net (messo - al posto di .) è un falso positivo di malwarebites


en.wikipedia.org/wiki/Skimlinks qui descrive skimcoso come
"is a content monetization platform for online publishers"
quindi verosimilmente non è infetto il mio sistema, quanto sono cose appartenenti al forum che monetizza sui link postati con redirect


https://www.marshallforum.com/thread....111203/page-2

cito l'ultimo messaggio di questo forum dove ne parlano

Quote:
"Restored my PC to before Skimlinks incident, and it was still there.
Malwarebytes scan found nothing.
Kaspersky full scan found nothing.
Repeating the link hijack experiment on the Seymour Duncan forum, no Skimlinks hijack.

But now I am not getting the Skimlinks hijack anymore with the MF!

Skimlinks is a money spinning tool that can be used by forums, etc., to get advertiser money from hosting weblinks to commercial websites.
This is from Wikipedia: https://en.wikipedia.org/wiki/Skimlinks

I think there may have been an integration problem that the MF has now fixed.
I assume they have only just started using Skimlinks, as I usually check my posted links to make sure they work properly.
This problem only started since the New Year."

non mi sarebbe dispiaciuto sapere in anticipo: "su questo forum se reindirizza non è malware ma è per sostenerci economicamente con pubblicità"
attendo la risposta di un moderatore o chi di dovere per conferma, grazie
blocc0 è offline   Rispondi citando il messaggio o parte di esso
Old 04-04-2021, 12:54   #17
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Quote:
Originariamente inviato da blocc0 Guarda i messaggi
si resettai manualmente tenendo premuto 30sec il tasto sul modem
Perfetto. Scusami se ho insistito su alcuni punti ma dovevo essere certo che tu avessi eseguito correttamente le operazioni consigliate.

Quote:
Originariamente inviato da blocc0 Guarda i messaggi
è un falso positivo di malwarebites
Falso positivo? Ho qualche dubbio in merito:
Quote:
Originariamente inviato da blocc0 Guarda i messaggi
Al momento di cambio password Chrome mi dice:
Cambia la password...a causa di una violazione di dati su un sito o app è stata esposta.
Più nel dettaglio:

AdwCleaner ha identificato ed eliminato un PUP, categoria di Adware che basa il proprio funzionamento sul tracciamento/redirect via Browser hijacking:

Codice:
HKCU\Software\Lavasoft\Web Companion
HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Web Companion
HKLM\Software\Wow6432Node\Lavasoft\Web Companion
Sui tuoi PC, Lavasoft Web Companion veniva eseguito in automatico ad ogni avvio di Windows e quindi la navigazione internet era costantemente tracciata, registrata e i log inviati al server di riferimento del PUP:

Codice:
StartupApproved\Run|Web Companion
Come se non bastasse, il malware si agganciava ad Explorer...

Codice:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
...modificando anche i parametri di sicurezza dell’area internet:

Codice:
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion(.)com
IMHO con questi riscontri mi sembra incauto ipotizzare un falso positivo...però adesso, come già scritto, dopo la pulizia via AdwCleaner, dall’analisi dei log i PC risultano puliti.

Resta però il problema del redirect...e pure qui: un redirect non voluto che veicola contenuti pubblicitari potenzialmente infetti non lo definirei tout court un falso positivo, anche in assenza (?) di malware su PC. Un esempio tratto da reddit sull’ultimo pop-up che hai postato (in cui è coinvolto il servizio di advertising googleadservices):



How do I remove googleadservices redirect from Chrome?

E uno degli utenti di reddit risponde (giustamente) che:

“googleadservices is for ads served by Google; generally, no malware is linked to this domain. However, some adversaries may initiate an ad which redirects to a landing page serving malware, routing through the googleadservices domain (before redirecting to their own campaign)”

Certo ci sono situazioni peggiori...però non è un’ipotesi poi così assurda teorizzare di poter passare da un adware/PUP a un redirect maligno tramite DNS/Browser hijacking verso un pop-up pubblicitario infetto che, a sua volta, consenta di scaricare/installare sulla macchina compromessa un bel trojan bancario/ransomware...

Quote:
Originariamente inviato da blocc0 Guarda i messaggi
non mi sarebbe dispiaciuto sapere in anticipo: "su questo forum se reindirizza non è malware ma è per sostenerci economicamente con pubblicità" attendo la risposta di un moderatore o chi di dovere per conferma, grazie
Ieri ho eseguito un semplice test empirico (per quel che può valere): ho disabilitato tutte le protezioni attive su Firefox e ho navigato su hwupgrade senza riscontrare pop-up o redirect anomali. Per certo posso però dirti che le politiche inerenti alle pubblicità qui su HWU possono essere settate in pochi click:







Se il problema che lamenti è realmente causato dagli ADV troppo invasivi, allora settando (come da screenshot) le policy “Impostazione di tracciamento della pubblicità” il redirect anomalo dovrebbe scomparire all’istante. Prova e poi fammi sapere.


PS

Se - nonostante la modifica sulle preferenze di gestione della pubblicità - le anomalie (redirect/pop-up) dovessero persistere – si può tentare con ulteriori fix.
E, visto che ci sei - oltre alla modifiche delle preferenze pubblicitarie su hwupgrade - edita nuovamente il file di HOSTS, aggiungendo la seguente riga: 0.0.0.0 googleadservices.com #googleadservices
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 06-04-2021, 17:02   #18
xcdegasp
Moderatore
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27451
discussione spostata
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
Old 06-04-2021, 17:39   #19
[K]iT[o]
Senior Member
 
Iscritto dal: Jul 2002
Messaggi: 5145
Sul forum di MBAM indicano la prima rilevazione di quel sito web che avete bloccato negli hosts come falso positivo:

https://forums.malwarebytes.com/topi...9wacphicdnnet/

Per il resto, buon lavoro, seguo curioso.
[K]iT[o] è offline   Rispondi citando il messaggio o parte di esso
Old 06-04-2021, 20:29   #20
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Quote:
Originariamente inviato da [K]iT[o] Guarda i messaggi
Sul forum di MBAM indicano la prima rilevazione di quel sito web che avete bloccato negli hosts come falso positivo
Al 99% cs9.wac.phicdn.net è un falso positivo: a titolo precauzionale però penso sia consigliabile mantenerlo nel file di hosts.
Su Lavasoft Web Companion invece pochi dubbi: si tratta di Adware e quindi il PC non solo era infetto ma in quello stato risultava vulnerabile ad ulteriori e ben più gravi infezioni.
Mentre skimlinks/skimresources/etc. sono tracker (potenzialmente pericolosi e per certo fastidiosi) che, in quanto tali, andrebbero bloccati via browser tramite specifiche estensioni e anche via hosts.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Un viaggio in Tesla dal nord alla Sicilia, senza Supercharger e spendendo 50 euro Un viaggio in Tesla dal nord alla Sicilia, senza...
Ghost of Tsushima: Director's Cut, le meraviglie di Iki su PS5 - Recensione Ghost of Tsushima: Director's Cut, le meraviglie...
Xiaomi 11T Pro, la ricarica da 120W è pazzesca ma non basta. La recensione Xiaomi 11T Pro, la ricarica da 120W è paz...
Anteprima! Canon EOS R3 dal vivo, la mirrorless che mette a fuoco con lo sguardo Anteprima! Canon EOS R3 dal vivo, la mirrorless ...
Nuova Opel Grandland, primo contatto e test drive: l'ibrido plug-in di Stellantis non delude Nuova Opel Grandland, primo contatto e test driv...
La missione Inspiration4 si è con...
Il taglio delle emissioni del trasporto ...
Lightyear ha raccolto nuovi fondi: arriv...
Operazione 'Nostalgia' per Cosina: ecco ...
Spot, il robot a quattro zampe, è...
iPhone 13 vs. iPhone 12: la batteria cre...
Ford F-150 Lightning, parte la pre-produ...
Ultime ore in orbita per i turisti spazi...
NVIDIA DLAA: non solo DLSS, sta arrivand...
Tamron mostra l'apertura reale lungo l'e...
Tesla chiude il programma referral: addi...
GA104, le GPU fallate della RTX 3070 Ti ...
Google Cloud: sguardo rivolto al gaming
Schermi cinesi su iPhone 13: BOE ha rice...
600 marchi cinesi rimossi per sempre da ...
LibreOffice 7.2.1
Avast! Free Antivirus
AVG Antivirus Free
The GIMP
Dropbox
Windows 10 Manager
Chromium
Advanced SystemCare Ultimate
NTLite
CCleaner Portable
CCleaner Standard
Trillian
PassMark BurnInTest Windows Edition
Opera Portable
K-Lite Codec Pack Update
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 02:47.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
Served by www2v