Ho istruito Hitman pro per eseguire scansione all'avvio ma non mi dà il log della scansione, solo quelli della scansione manuale a PC avviato, li allego più tardi con i log anche di cleanmgr+ ed eset
Infezione da RAT (remote administration tool)
Regole del forum
- CesarMirror
- Livello: EPROM (2/15)
- Messaggi: 28
- Iscritto il: sab apr 25, 2020 6:24 pm
Re: Infezione da RAT (remote administration tool)
basta selezionarlo e cliccare su "Apri"
Su Eset Online scanner, mi ero sbagliato, non permette la scansione al riavvio, però posta pure (sempre omettendo dati personali come il nome utente)
Mentre cleanmngr+ serve solo a pulire files temporanei e di troppo, quindi il log non serve.
Ma, non ho capito una cosa, ogni volta che fai la scansione con Kaspersky Rescue Disk rileva sempre la presenza di malware?
- CesarMirror
- Livello: EPROM (2/15)
- Messaggi: 28
- Iscritto il: sab apr 25, 2020 6:24 pm
Re: Infezione da RAT (remote administration tool)
Kaspersky rescue disk mi ha rilevato 7 trojan che io ho spostato in quarantena per avere una visione migliore dei dettagli e poi ho non ricordo esattamente dove ho cliccato ma si è chiusa la finestra e non erano più in quarantena, poi l'ho rifatta e sono spuntati fuori di nuovo, così su 1 file ho fatto "recupera" e gli altri 6 "elimina", rifacendo la scansione è emerso solo il file che avevo recuperato (in effetti) ma dato che non ricordavo quale tasto avevo usato dopo averli messi in quarantena ho dovuto provare, ora non rileva più niente.
Questi sono i log di hitmanpro, credo che il primo sia log dell'accensione: next message
- CesarMirror
- Livello: EPROM (2/15)
- Messaggi: 28
- Iscritto il: sab apr 25, 2020 6:24 pm
Re: Infezione da RAT (remote administration tool)
www.hitmanpro.com
Computer name . . . . :
Windows . . . . . . . : 10.0.0.18363.X64/4
User name . . . . . . :
UAC . . . . . . . . . : Enabled
License . . . . . . . : Trial (31 days left)
Scan date . . . . . . : 2020-04-26 19:46:22
Scan mode . . . . . . : Quick
Scan duration . . . . : 7m 35s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No
Threats . . . . . . . : 0
Traces . . . . . . . : 0
Objects scanned . . . : 5.007
Files scanned . . . . : 5.007
Remnants scanned . . : 0 files / 0 keys
HitmanPro 3.8.18.312
www.hitmanpro.com
Computer name . . . . :
Windows . . . . . . . : 10.0.0.18363.X64/4
User name . . . . . . :
UAC . . . . . . . . . : Enabled
License . . . . . . . : Free
Scan date . . . . . . : 2020-04-26 16:12:47
Scan mode . . . . . . : Normal
Scan duration . . . . : 11m 53s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No
Threats . . . . . . . : 0
Traces . . . . . . . : 2
Objects scanned . . . : 2.148.596
Files scanned . . . . : 40.671
Remnants scanned . . : 700.980 files / 1.406.945 keys
Cookies _____________________________________________________________________
C:\Users\\AppData\Local\Google\Chrome\User Data\Default\Cookies:track.afcpatrk.com
C:\Users\\AppData\Local\Google\Chrome\User Data\Default\Cookies:www.googleadservices.com
HitmanPro 3.8.18.312
www.hitmanpro.com
Computer name . . . . :
Windows . . . . . . . : 10.0.0.18363.X64/4
User name . . . . . . :
UAC . . . . . . . . . : Enabled
License . . . . . . . : Free
Scan date . . . . . . : 2020-04-26 16:51:38
Scan mode . . . . . . : Normal
Scan duration . . . . : 10m 9s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No
Threats . . . . . . . : 1
Traces . . . . . . . : 5
Objects scanned . . . : 2.148.367
Files scanned . . . . : 41.121
Remnants scanned . . : 700.267 files / 1.406.979 keys
Malware _____________________________________________________________________
C:\Program Files\KMS 360 Pro\Service_21.exe
Size . . . . . . . : 18.944 bytes
Age . . . . . . . : 18.9 days (2020-04-07 19:15:53)
Entropy . . . . . : 5.7
SHA-256 . . . . . : 2B67DD71A743E192F57C796850B0FD9DFFED40F511C9F12975FE8C86F2B02FA3
Product . . . . . : Macchina
Publisher . . . . : Il Webmaster 21
Description . . . : Macchina
Version . . . . . : 4.6.4.0
Service . . . . . : Service_21
LanguageID . . . . : 0
> Bitdefender . . . : Gen:Variant.MSILPerseus.209419
Fuzzy . . . . . . : 106.0
Startup
HKLM\SYSTEM\CurrentControlSet\Services\Service_21\
Forensic Cluster
-8.6s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin
-0.7s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.20
-0.6s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.55
-0.0s C:\Program Files\KMS 360 Pro\
0.0s C:\Program Files\KMS 360 Pro\Service_21.exe
0.0s C:\Program Files\KMS 360 Pro\Motore.dll
0.9s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.67
1.4s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.6C
1.6s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.70
1.7s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.79
13.8s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.7C
14.8s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.7E
15.6s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.80
15.6s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.87
15.9s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.A0
15.9s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.83
16.3s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.CE
16.3s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.5B
Potential Unwanted Programs _________________________________________________
HKLM\SOFTWARE\Classes\WOW6432Node\CLSID\{CE596481-1607-4A7A-9482-0A899E0193D0}\ (Nero TuneItUp)
HKLM\SOFTWARE\WOW6432Node\simplitec\ (Simplitec)
HKLM\SOFTWARE\WOW6432Node\simplitec\nero_tuneitup\ (Nero TuneItUp)
- CesarMirror
- Livello: EPROM (2/15)
- Messaggi: 28
- Iscritto il: sab apr 25, 2020 6:24 pm
Re: Infezione da RAT (remote administration tool)
Il primo è un PuP (che guarda caso a che fare con l'accesso remoto), maggiori info:
https://www.welivesecurity.com/2015/11/ ... ammyy-com/
Gli altri due sospetti, relativi Intel, sono stati segnalati solo perché non hanno firma digitale, probabilmente non hai aggiornato i driver e i software Intel o sono stati modificati dal produttore del tuo PC (abitudine che hanno molte marche di computer)
Vai con gli altri log, grazie
Re: Infezione da RAT (remote administration tool)
dunque prova a inviare su virustotal l'eseguibile di "KMS 360 Pro by Il Webmaster 21" per vedere se è malevolo davvero (potrebbe essere un falso positivo) e dicci i risultati appena puoi (se sei sicuro che è un programma attendibile e non scaricato da siti non affidabili, lascialo stare, non so nemmeno a cosa serve).
I secondi sono la cache di WindowsDefender, probabilmente segnalati in quanto contengono le definizioni dele basi antivirali, quindi falso positivo.
Questi sono PuP (non malware, ma programmi potenzialmente indesiderati, solitamente adware o ad-supported)
Potential Unwanted Programs _________________________________________________
HKLM\SOFTWARE\Classes\WOW6432Node\CLSID\{CE596481-1607-4A7A-9482-0A899E0193D0}\ (Nero TuneItUp)
HKLM\SOFTWARE\WOW6432Node\simplitec\ (Simplitec)
HKLM\SOFTWARE\WOW6432Node\simplitec\nero_tuneitup\ (Nero TuneItUp).
Ti serve davvero Nero Tuneup?
Io ne farei a meno, non serve a niente, c'è di meglio e gratis
Re: Infezione da RAT (remote administration tool)
Scarica adwcleaner da qui
https://it.malwarebytes.com/adwcleaner/
e fagli fare una scansione, fagli rimuovere gli eventuali PUP che trova
(Attenzione: rileva anche software preinstallati, non sono malware, quindi se ti occorrono lasciali dove sono).
[edit to add]
Gen:Variant.MSILPerseus.209419 rilevato dal motore Bitdefender è questa robaccia qui
https://www.adaware.com/malware-descrip ... e798985395
un hacktool, probabilmente collegato a qualche crack..
Ultima modifica di leofelix il dom apr 26, 2020 11:30 pm, modificato 2 volte in totale.
- CesarMirror
- Livello: EPROM (2/15)
- Messaggi: 28
- Iscritto il: sab apr 25, 2020 6:24 pm
Re: Infezione da RAT (remote administration tool)
Riguardo il kms l'ho scaricato da un canale, potenzialmente scam con roba infetta, potrebbe anche essere sua la colpa...
A breve invio i log di eset
Re: Infezione da RAT (remote administration tool)
al tempo, non mi era sfuggita questa tua risposta.CesarMirror ha scritto: ↑dom apr 26, 2020 10:42 pm ESET mi ha chiesto di disinstallare Kaspersky anti virus, ora faccio lo scan e poi invio i log.
Sicuro che invece di Eset Online scanner non hai invece scaricato ESET internet security?
Il download diretto è qui
Codice: Seleziona tutto
https://download.eset.com/com/eset/tools/online_scanner/latest/esetonlinescanner_enu.exe
- cesarespecchio1
- Livello: Scheda perforata (1/15)
- Messaggi: 2
- Iscritto il: dom apr 26, 2020 11:39 pm
Re: Infezione da RAT (remote administration tool)
questi sono i log di eset:
Rapporto
C:\Documents and Settings\\AppData\Local\Google\Chrome\User Data\Default\Cache\f_0019fb - HTML/ScrInject.B trojan horse
C:\Documents and Settings\\AppData\Local\Google\Chrome\User Data\Default\Cache\f_001a0f - HTML/ScrInject.B trojan horse
C:\Documents and Settings\\AppData\Roaming\uTorrent\updates\3.4.9_43388.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\AppData\Roaming\uTorrent\updates\3.5.0_43580.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\AppData\Roaming\uTorrent\updates\3.5.0_43916.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\AppData\Roaming\uTorrent\updates\3.5.0_44090.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\Dati applicazioni\uTorrent\updates\3.4.9_43388.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\Dati applicazioni\uTorrent\updates\3.5.0_43580.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\Dati applicazioni\uTorrent\updates\3.5.0_43916.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\Dati applicazioni\uTorrent\updates\3.5.0_44090.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\Impostazioni locali\Google\Chrome\User Data\Default\Cache\f_0019fb - HTML/ScrInject.B trojan horse
C:\Documents and Settings\\Impostazioni locali\Google\Chrome\User Data\Default\Cache\f_001a0f - HTML/ScrInject.B trojan horse
C:\Users\\AppData\Local\Google\Chrome\User Data\Default\Cache\f_0019fb - HTML/ScrInject.B trojan horse
C:\Users\\AppData\Local\Google\Chrome\User Data\Default\Cache\f_001a0f - HTML/ScrInject.B trojan horse
C:\Users\\AppData\Roaming\uTorrent\updates\3.4.9_43388.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\AppData\Roaming\uTorrent\updates\3.5.0_43580.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\AppData\Roaming\uTorrent\updates\3.5.0_43916.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\AppData\Roaming\uTorrent\updates\3.5.0_44090.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\Dati applicazioni\uTorrent\updates\3.4.9_43388.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\Dati applicazioni\uTorrent\updates\3.5.0_43580.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\Dati applicazioni\uTorrent\updates\3.5.0_43916.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\Dati applicazioni\uTorrent\updates\3.5.0_44090.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\Impostazioni locali\Google\Chrome\User Data\Default\Cache\f_0019fb - HTML/ScrInject.B trojan horse
C:\Users\\Impostazioni locali\Google\Chrome\User Data\Default\Cache\f_001a0f - HTML/ScrInject.B trojan horse
Numero di oggetti controllati: 607734
Numero di rilevamenti: 25
Numero totale di oggetti disinfettati: 1
Ora di completamento: 22:58:25 Tempo di controllo totale: 7242 sec (02:00:42)
Note:
[1] L'oggetto è stato eliminato poiché conteneva solo il corpo del virus.
[4] È impossibile aprire l'oggetto. L'oggetto potrebbe essere utilizzato da un'altra applicazione o da un altro sistema operativo.
/FINE
Mi chiedo, come mai mi fa solo il rapporto ma non puo eliminare la minaccia? o almeno, mi consente solo il tasto "ignora" anche se ha rilevato dei malware
- CesarMirror
- Livello: EPROM (2/15)
- Messaggi: 28
- Iscritto il: sab apr 25, 2020 6:24 pm
Re: Infezione da RAT (remote administration tool)
Ora provvedo con l'altri
Re: Infezione da RAT (remote administration tool)
non sia riuscito a eliminarli dal momento che se stavi facendo la scansione con Chrome aperto Eset considerava il programma in uso.
Mannaggia, avrei dovuto specificare prima il link per il download a Eset Online scanner.
La versione di prova di ESET internet Security dovrebbe richiedere un account per funzionare o quanto meno si dovrebbe richiedere un codice di prova tramite e-mail.
uTorrent in sè non è malware, è un PuP che fa visualizzare pubblicità, certo se poi ci scarichi pure file poco puliti...
Prova a pulire accuratamente la cache di Chrome con a esempio BleachBit da https://www.bleachbit.org/download/windows
Attenzione perché è molto aggressivo, ti sconsiglio di fargli scaricare il file winapp2.ini
Qui una recensione di crazy.cat
https://turbolab.it/manutenzione-156/li ... bit-4-2747
Adesso non ti serve scaricare un altro antivirus, caso mai disinstalla Eset Internet Security, tanto hai WindowsDefender che ti protegge, e fai la scansione con ESET online scanner dal link corretto e con Chrome chiuso.
Scaricalo con Edge o con un altro browser se ne hai altri installati.
Un altro programma di disinfezione gratuita molto buono è Emsisoft Emergency Toolkit (non protegge in tempo reale, abilita la rilevazione PuP quando te lo chiede, non necessita nemmeno di installazione, scaricalo - con Edge o altro browser- eseguilo, aggiornalo e fagli fare una scansione malware, alla fine ti chiederà se vuoi proteggere il sistema con Emsisoft Internet Security - nega il permesso)
https://www.emsisoft.com/en/home/emergencykit/
Re: Infezione da RAT (remote administration tool)
capisco che HTML/ScrInject.B trojan horse l'infezione si trova in qualche sito che stavi visitando, se il virus è ancora attivo potrebbe averti dirottato lì, così come uTorrent con la sua pullicità ti abbia fatto lo stesso scherzo.
Va anche detto che Kaspersky Rescue CD rilevava un malware con nome simile nel sistema.
Eset Internet Security ti aveva forse avvisato che aveva bloccato qualche malware mentre navigavi?
- cesarespecchio1
- Livello: Scheda perforata (1/15)
- Messaggi: 2
- Iscritto il: dom apr 26, 2020 11:39 pm
Re: Infezione da RAT (remote administration tool)
comunque, a questo punto posso formattare windows e fare un'installazione pulita con usb? o dovrei assicurarmi di rimuovere tutte le tracce, compresa la cache di chrome, adw ecc..?
27/04/2020 06:10:51
File controllati: 484750
File rilevati: 4
File puliti: 4
Tempo di controllo totale 02:51:20
Stato controllo: Terminato
C:\Users\\AppData\Roaming\uTorrent\updates\3.4.9_43388.exe una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata risolto tramite eliminazione
C:\Users\\AppData\Roaming\uTorrent\updates\3.5.0_43580.exe una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata risolto tramite eliminazione
C:\Users\\AppData\Roaming\uTorrent\updates\3.5.0_43916.exe una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata risolto tramite eliminazione
C:\Users\\AppData\Roaming\uTorrent\updates\3.5.0_44090.exe una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata risolto tramite eliminazione
Re: Infezione da RAT (remote administration tool)
Se hai una chiavetta USB avviabile già pronta e con una ISO pulita potresti pure, non prima di aver resettato Chrome con adwcleaner e fatta una ulteriore scansione con TDS killer per fargli rimuovere anche la prima voce e un',altra con Hitman pro (non al riavvio).
Altrimenti se hai modo di mettere mano a un PC pulito prepara la chiavetta da lì (, magari chiedi a un amico).
Io al tuo posto farei una scansione offline con Windows Defender pure (impostazioni > aggiornamento e sicurezza > opzioni di scansione).
Chrome offre anche tra le opzioni di ripristinare il browser e di disinfettarlo .
Va da sé che perderai eventuali estensioni, preferiti e presumo eventuali password salvate nel browser (ma se queste sono salvate anche sul tuo smartphone le puoi recuperare così come i preferiti).
Tuttavia se vuoi rischiare dal tuo PC, ripeti comunque scansione con TDS killer e Hitman pro e fai il reset di Chrome.
A tuo rischio e pericolo.
Quando avrai fatto tutto dovrai cambiare tutte le password e se proprio non ce la fai a evitare certi siti e certi programmi almeno usa sandboxie (crazy.cat ci ha scritto una recensione) ti eviterai un bel po' di grattacapi.
In bocca al lupo
- CesarMirror
- Livello: EPROM (2/15)
- Messaggi: 28
- Iscritto il: sab apr 25, 2020 6:24 pm
Re: Infezione da RAT (remote administration tool)
- crazy.cat
- Amministratore
- Messaggi: 12479
- Iscritto il: mer mag 01, 2013 4:02 pm
- Località: Noventa Padovana
- Contatta:
Re: Infezione da RAT (remote administration tool)
Scusa cesar o cesare, perché dai risposte con due account diversi?
Re: Infezione da RAT (remote administration tool)
scusa se ti rispondo io, lo aveva detto qualche post sopra:
Ora cosa diamine sia wetranfer lo posso solo immaginarecesarespecchio1 ha scritto: ↑dom apr 26, 2020 11:50 pm sono sempre io, ho creato un account ex novo con email tranquilla perche wetransfer non funzionava piu e non volevo passare i log sul cellulare con canali sensibili.
@ Cesar
Poi se ci fai sapere come è andata, ne saremmo lieti.
Grazie
- crazy.cat
- Amministratore
- Messaggi: 12479
- Iscritto il: mer mag 01, 2013 4:02 pm
- Località: Noventa Padovana
- Contatta:
Re: Infezione da RAT (remote administration tool)
Mi era sfuggito
- sondlive07
- Livello: Disco fisso (9/15)
- Messaggi: 813
- Iscritto il: lun set 02, 2013 9:10 pm
- Località: casa mia
Re: Infezione da RAT (remote administration tool)
Un servizio molto buono che mi è capitato di usarlo diverse volte per lavoro!
Groucho Marx
- CesarMirror
- Livello: EPROM (2/15)
- Messaggi: 28
- Iscritto il: sab apr 25, 2020 6:24 pm
Re: Infezione da RAT (remote administration tool)
Ho lasciato il PC così com'era, dopo la disinfezione, per assicurarmi che non ci fossero altri sospetti, oggi faccio installazione pulita di Windows da USB e credo che la storia sia finita.
- CesarMirror
- Livello: EPROM (2/15)
- Messaggi: 28
- Iscritto il: sab apr 25, 2020 6:24 pm
Re: Infezione da RAT (remote administration tool)
Dovendo fare l'installazione pulita, e non volendo usare sotterfugi come chiavi di attivazione trovate in giro o KMS per attivare la licenza... Come trovo la mia chiave di attivazione per la licenza di Windows senza contattare il produttore? Ho un PC portatile con licenza digitale OEM, c'è qualche escamotage per risalire al mio codice di attivazione?
- crazy.cat
- Amministratore
- Messaggi: 12479
- Iscritto il: mer mag 01, 2013 4:02 pm
- Località: Noventa Padovana
- Contatta:
Re: Infezione da RAT (remote administration tool)
Se la licenza era già attivata, in fase d'installazione non devi inserire nulla, al primo collegamento internet si riattiva da sola.CesarMirror ha scritto: ↑mer apr 29, 2020 2:03 pm Ho un PC portatile con licenza digitale OEM, c'è qualche escamotage per risalire al mio codice di attivazione?
Non serve fare nulla.
- CesarMirror
- Livello: EPROM (2/15)
- Messaggi: 28
- Iscritto il: sab apr 25, 2020 6:24 pm
Re: Infezione da RAT (remote administration tool)
-
- Argomenti simili
- Risposte
- Visite
- Ultimo messaggio
-
- 17 Risposte
- 2522 Visite
-
Ultimo messaggio da Pulcepiccola