microsoft photos trojan

[blocc0]

Buonasera, poco fa mentre guardavo su pc delle foto scattate con il cellulare (passate dall'account di google al computer) clicco sulla foto e ingrandisco.

malwarebytes mi fa notare con un popup

Quote:

-Dettagli log-
Data evento di protezione: 02/04/21
Ora evento di protezione: 18:39
File di log: 06014df9-93d2-11eb-8ecd-d05099853a59.json

-Informazioni software-
Versione: 4.3.0.98
Versione componenti: 1.0.1236
Aggiorna versione pacchetto: 1.0.39012
Licenza: Trial

-Informazioni sistema-
SO: Windows 10 (Build 19042.867)
CPU: x64
File system: NTFS
Utente: System

-Dettagli siti web bloccati-
Sito web nocivo: 1
, C:\Program Files\WindowsApps\Microsoft.Windows.Photos_2020.20120.4004.0_x64__8wekyb3d8bbwe\Microsoft.Photos.exe, Bloccato, -1, -1, 0.0.0, ,

-Dati sito web-
Categoria: Trojan
Dominio: cs9.wac.phicdn.net
Indirizzo IP: 93.184.220.29
Porta: 80
Tipo: In uscita
File: C:\Program Files\WindowsApps\Microsoft.Windows.Photos_2020.20120.4004.0_x64__8wekyb3d8bbwe\Microsoft.Photos.exe



(end)

qualcuno ha idea di cosa significhi? debbo preoccuparmi? grazie

[blocc0]

ora questo

Quote:

Malwarebytes
www.malwarebytes.com

-Dettagli log-
Data evento di protezione: 02/04/21
Ora evento di protezione: 18:49
File di log: 56999062-93d3-11eb-a35a-d05099853a59.json

-Informazioni software-
Versione: 4.3.0.98
Versione componenti: 1.0.1236
Aggiorna versione pacchetto: 1.0.39012
Licenza: Trial

-Informazioni sistema-
SO: Windows 10 (Build 19042.867)
CPU: x64
File system: NTFS
Utente: System

-Dettagli siti web bloccati-
Sito web nocivo: 1
, C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe, Bloccato, -1, -1, 0.0.0, ,

-Dati sito web-
Categoria: Trojan
Dominio: cs9.wac.phicdn.net
Indirizzo IP: 93.184.220.29
Porta: 80
Tipo: In uscita
File: C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe



(end)

scansionato completamente con avira, quando apro l'applicazione di avira per gestione password, malwarebytes blocca anche avira

-Dettagli log-
Data evento di protezione: 02/04/21
Ora evento di protezione: 20:02
File di log: 94555756-93dd-11eb-8b49-d05099853a59.json

-Informazioni software-
Versione: 4.3.0.98
Versione componenti: 1.0.1236
Aggiorna versione pacchetto: 1.0.39012
Licenza: Trial

-Informazioni sistema-
SO: Windows 10 (Build 19042.867)
CPU: x64
File system: NTFS
Utente: System

-Dettagli siti web bloccati-
Sito web nocivo: 1
, C:\Program Files (x86)\Avira\Security\Avira.Spotlight.UI.Application.exe, Bloccato, -1, -1, 0.0.0, ,

-Dati sito web-
Categoria: Trojan
Dominio: cs9.wac.phicdn.net
Indirizzo IP: 93.184.220.29
Porta: 80
Tipo: In uscita
File: C:\Program Files (x86)\Avira\Security\Avira.Spotlight.UI.Application.exe
(end)

[blocc0]

ciao, onestamente ho ricordato che ieri quando ho installato malwarebytes aggiornandolo all'ultima versione ho cliccato sulla protezione massima fornita dalla trial premium, flaggando tutti i tipi di controllo.

essendo che ogni contenuto web (tipo vedo foto mie su win10, cerco qualcosa da start o semplicemente apro avira) che tentava di caricare lo bloccava.
non vorrei fosse eccessivamente invasivo, memore di come avast un tempo identificasse il blocconote come trojan solo perchè con tale strumento volendo si può compilare qualcosa.

quindi ho disinstallato malwarebytes perchè avira dopo una scansione completa non trova nulla e anche la sicurezza di windows defender non dava nulla.

appare anche se clicco su AdwCleaner mentre non lo fa se clicco su "Kaspersky TDSSKiller" , mentre se li cerco da google nessun problema

[blocc0]

aggiorno:
ho seguito le istruzioni e
EEK resta in background con 18,4 mb di memoria in uso ma non appare nulla, non so se sta scansionando (ho avviato come amministratore in mod provvisoria, provando sia da pen drive che direttamente da desktop)
quindi sto scansionando non da provvisoria e sembra funzionare (cpu al 100% di utilizzo e massima priorità)

EDIT

EEK ha terminato dopo una mezz'oretta non ha trovato problemi

(da modalità provvisoria) Kaspersky TDSSKiller non ha trovato problemi

(da modalità provvisoria) AdwCleaner ha messo in quarantena questi

Spoiler:

posso reinstallare avira e sentirmi sufficientemente sereno? (sono speranzoso a riguardo)

[blocc0]

ora sto postando da un altro pc con windows 7 (medesima rete) ma che non comunica con l'altro del quale ho fatto le scansioni. se clicco sui link fornitemi di EEK rimanda comunque alla pagina skimcoso, su questo pc con win7 non ho trovato infezioni.


oddio... ora sono sul pc con win7 e se clicco sul link mi rimanda a skimcoso... (ho aggiunto anche qui la riga in hosts e lo blocca)

ma questa cosa dei link mi succede solo con questo forum a dire il vero


EDIT
il log di adwcleaner

[blocc0]

Scollegato da wifi cellulari e tablet, PC . Resettato manualmente il modem hub fibra Tim e cambiato password.
Ora ho il PC con win 10 acceso, perché ho cambiato la password

Al momento di cambio password Chrome mi dice:
Cambia la password (admin, admin di default) a causa di una violazione di dati su un sito o app è stata esposta. Chrome ti consiglia di cambiare subito la password (dava sito non sicuro il 192.168.1.uno) cambiata subito

Comunque quel redirezionamento mi accadeva solo su link che ho postato di MediaFire in questo forum e su un paio cliccati da te postati.

Per ora sono scollegati 3 cellulari, 2 iPad, 1kindle, 1 laptop con Linux, 1 Win7. 1 win10 desktop attivo
Poi potrò ricollegare tablet e Kindle al WiFi?


EDIT
da questo pc con win10 cliccando sul link di mediafire che ho postato sopra ora mi rimanda diretto a quella pagina e non ad altre, spero sia sia risolta la faccenda, anche quello con win7 mi manda direttamente a mediafire senza redirezionamento a strani siti
ora mi chiedono di poter riconnettere il laptop al wifi e debbo farlo, spero non accada nulla di male

[blocc0]

da autoruns tolto i collegamenti in giallo (obsoleti/mancanti)

messo i dns di google

[blocc0]

in questo log se clicco su "Microsoft" che è in blu, anche se è testo copiato e incollato come il resto del log, passo sopra il cursore e in basso vedo che rimanderebbe al sito microsoft ma in realtà cliccandoci sopra rimanda a quel sito là... veramente inizio a pensare di formattare e rimettere tutto pulito.

PS.visto che la stessa situazione di vedere nomi di programmi in blu in parti di log, la ho sul telefono non è che sono pubblicità del forum che ad ogni click prende monetizzazione? Non ho cliccato da telefono ma ricordo che molto tempo fa in altri forum uno scriveva di un prodotto e passandoci il cursore mettevano l'annuncio del prodotto. Non ricordo bene ma erano ads di anni fa

[blocc0]

confermo che i DNS erano quelli di Google in dos

connesso alla rete c'era solo il pc con win10 e tutti gli altri dispositivi scollegati

per le connessioni attive non ho idea sinceramente, spero siano i vari programmi installati o servizi/app di win10 che comunicano
ho fatto netstat dopo un paio di minuti come da istruzioni senza avviare programmi ma in modo normale, magari riprovo da provvisoria con rete


ho provato su un altro sito a cliccare su link che indirizzano a programmi free, da quella lista nessun reindirizzamento, praticamente
me lo fa solo in questo forum per ora.

[blocc0]

si resettai manualmente tenendo premuto 30sec il tasto sul modem

https://forums.malwarebytes.com/topi...omment-1448684
qui dice che cs9_wac_phicdn_net (messo - al posto di .) è un falso positivo di malwarebites


en.wikipedia.org/wiki/Skimlinks qui descrive skimcoso come
"is a content monetization platform for online publishers"
quindi verosimilmente non è infetto il mio sistema, quanto sono cose appartenenti al forum che monetizza sui link postati con redirect


https://www.marshallforum.com/thread....111203/page-2

cito l'ultimo messaggio di questo forum dove ne parlano

Quote:

"Restored my PC to before Skimlinks incident, and it was still there.
Malwarebytes scan found nothing.
Kaspersky full scan found nothing.
Repeating the link hijack experiment on the Seymour Duncan forum, no Skimlinks hijack.

But now I am not getting the Skimlinks hijack anymore with the MF!

Skimlinks is a money spinning tool that can be used by forums, etc., to get advertiser money from hosting weblinks to commercial websites.
This is from Wikipedia: https://en.wikipedia.org/wiki/Skimlinks

I think there may have been an integration problem that the MF has now fixed.
I assume they have only just started using Skimlinks, as I usually check my posted links to make sure they work properly.
This problem only started since the New Year."

non mi sarebbe dispiaciuto sapere in anticipo: "su questo forum se reindirizza non è malware ma è per sostenerci economicamente con pubblicità"
attendo la risposta di un moderatore o chi di dovere per conferma, grazie

[xcdegasp]

discussione spostata

[[K]iT[o]]

Sul forum di MBAM indicano la prima rilevazione di quel sito web che avete bloccato negli hosts come falso positivo:

https://forums.malwarebytes.com/topi...9wacphicdnnet/

Per il resto, buon lavoro, seguo curioso.