Infezione da RAT (remote administration tool)

[CesarMirror]

Adesso le riinvio, comunque
Ho istruito Hitman pro per eseguire scansione all'avvio ma non mi dà il log della scansione, solo quelli della scansione manuale a PC avviato, li allego più tardi con i log anche di cleanmgr+ ed eset

[leofelix]

allora, il log di Hitman Pro lo trovi subito, guarda l'immagine



basta selezionarlo e cliccare su "Apri"

Su Eset Online scanner, mi ero sbagliato, non permette la scansione al riavvio, però posta pure (sempre omettendo dati personali come il nome utente)

Mentre cleanmngr+ serve solo a pulire files temporanei e di troppo, quindi il log non serve.

Ma, non ho capito una cosa, ogni volta che fai la scansione con Kaspersky Rescue Disk rileva sempre la presenza di malware?

[CesarMirror]

ESET mi ha chiesto di disinstallare Kaspersky anti virus, ora faccio lo scan e poi invio i log.
Kaspersky rescue disk mi ha rilevato 7 trojan che io ho spostato in quarantena per avere una visione migliore dei dettagli e poi ho non ricordo esattamente dove ho cliccato ma si è chiusa la finestra e non erano più in quarantena, poi l'ho rifatta e sono spuntati fuori di nuovo, così su 1 file ho fatto "recupera" e gli altri 6 "elimina", rifacendo la scansione è emerso solo il file che avevo recuperato (in effetti) ma dato che non ricordavo quale tasto avevo usato dopo averli messi in quarantena ho dovuto provare, ora non rileva più niente.
Questi sono i log di hitmanpro, credo che il primo sia log dell'accensione: next message

[CesarMirror]

HitmanPro 3.8.18.312
www.hitmanpro.com

Computer name . . . . :
Windows . . . . . . . : 10.0.0.18363.X64/4
User name . . . . . . :
UAC . . . . . . . . . : Enabled
License . . . . . . . : Trial (31 days left)

Scan date . . . . . . : 2020-04-26 19:46:22
Scan mode . . . . . . : Quick
Scan duration . . . . : 7m 35s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No

Threats . . . . . . . : 0
Traces . . . . . . . : 0

Objects scanned . . . : 5.007
Files scanned . . . . : 5.007
Remnants scanned . . : 0 files / 0 keys



HitmanPro 3.8.18.312
www.hitmanpro.com

Computer name . . . . :
Windows . . . . . . . : 10.0.0.18363.X64/4
User name . . . . . . :
UAC . . . . . . . . . : Enabled
License . . . . . . . : Free

Scan date . . . . . . : 2020-04-26 16:12:47
Scan mode . . . . . . : Normal
Scan duration . . . . : 11m 53s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No

Threats . . . . . . . : 0
Traces . . . . . . . : 2

Objects scanned . . . : 2.148.596
Files scanned . . . . : 40.671
Remnants scanned . . : 700.980 files / 1.406.945 keys

Cookies _____________________________________________________________________

C:\Users\\AppData\Local\Google\Chrome\User Data\Default\Cookies:track.afcpatrk.com
C:\Users\\AppData\Local\Google\Chrome\User Data\Default\Cookies:www.googleadservices.com


HitmanPro 3.8.18.312
www.hitmanpro.com

Computer name . . . . :
Windows . . . . . . . : 10.0.0.18363.X64/4
User name . . . . . . :
UAC . . . . . . . . . : Enabled
License . . . . . . . : Free

Scan date . . . . . . : 2020-04-26 16:51:38
Scan mode . . . . . . : Normal
Scan duration . . . . : 10m 9s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No

Threats . . . . . . . : 1
Traces . . . . . . . : 5

Objects scanned . . . : 2.148.367
Files scanned . . . . : 41.121
Remnants scanned . . : 700.267 files / 1.406.979 keys

Malware _____________________________________________________________________

C:\Program Files\KMS 360 Pro\Service_21.exe
Size . . . . . . . : 18.944 bytes
Age . . . . . . . : 18.9 days (2020-04-07 19:15:53)
Entropy . . . . . : 5.7
SHA-256 . . . . . : 2B67DD71A743E192F57C796850B0FD9DFFED40F511C9F12975FE8C86F2B02FA3
Product . . . . . : Macchina
Publisher . . . . : Il Webmaster 21
Description . . . : Macchina
Version . . . . . : 4.6.4.0
Service . . . . . : Service_21
LanguageID . . . . : 0
> Bitdefender . . . : Gen:Variant.MSILPerseus.209419
Fuzzy . . . . . . : 106.0
Startup
HKLM\SYSTEM\CurrentControlSet\Services\Service_21\
Forensic Cluster
-8.6s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin
-0.7s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.20
-0.6s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.55
-0.0s C:\Program Files\KMS 360 Pro\
0.0s C:\Program Files\KMS 360 Pro\Service_21.exe
0.0s C:\Program Files\KMS 360 Pro\Motore.dll
0.9s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.67
1.4s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.6C
1.6s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.70
1.7s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.79
13.8s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.7C
14.8s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.7E
15.6s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.80
15.6s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.87
15.9s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.A0
15.9s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.83
16.3s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.CE
16.3s C:\ProgramData\Microsoft\Windows Defender\Scans\mpcache-0AFA70293B0B89085BD6FDDBE84E6C618FCC85D3.bin.5B


Potential Unwanted Programs _________________________________________________

HKLM\SOFTWARE\Classes\WOW6432Node\CLSID\{CE596481-1607-4A7A-9482-0A899E0193D0}\ (Nero TuneItUp)
HKLM\SOFTWARE\WOW6432Node\simplitec\ (Simplitec)
HKLM\SOFTWARE\WOW6432Node\simplitec\nero_tuneitup\ (Nero TuneItUp)

[CesarMirror]

Questo è quello che rilevato Kaspersky tdsskiller

[leofelix]

bene, è il terzo file è una rootkit che è stata messa in quarantena.
Il primo è un PuP (che guarda caso a che fare con l'accesso remoto), maggiori info:
https://www.welivesecurity.com/2015/11/ ... ammyy-com/

Gli altri due sospetti, relativi Intel, sono stati segnalati solo perché non hanno firma digitale, probabilmente non hai aggiornato i driver e i software Intel o sono stati modificati dal produttore del tuo PC (abitudine che hanno molte marche di computer)

Vai con gli altri log, grazie

[leofelix]

ops non avevo visto anche il log di Hitman pro
dunque prova a inviare su virustotal l'eseguibile di "KMS 360 Pro by Il Webmaster 21" per vedere se è malevolo davvero (potrebbe essere un falso positivo) e dicci i risultati appena puoi (se sei sicuro che è un programma attendibile e non scaricato da siti non affidabili, lascialo stare, non so nemmeno a cosa serve).

I secondi sono la cache di WindowsDefender, probabilmente segnalati in quanto contengono le definizioni dele basi antivirali, quindi falso positivo.


Questi sono PuP (non malware, ma programmi potenzialmente indesiderati, solitamente adware o ad-supported)
Potential Unwanted Programs _________________________________________________

HKLM\SOFTWARE\Classes\WOW6432Node\CLSID\{CE596481-1607-4A7A-9482-0A899E0193D0}\ (Nero TuneItUp)
HKLM\SOFTWARE\WOW6432Node\simplitec\ (Simplitec)
HKLM\SOFTWARE\WOW6432Node\simplitec\nero_tuneitup\ (Nero TuneItUp).

Ti serve davvero Nero Tuneup?
Io ne farei a meno, non serve a niente, c'è di meglio e gratis

[leofelix]

aggiungo:

Scarica adwcleaner da qui
https://it.malwarebytes.com/adwcleaner/
e fagli fare una scansione, fagli rimuovere gli eventuali PUP che trova

(Attenzione: rileva anche software preinstallati, non sono malware, quindi se ti occorrono lasciali dove sono).

[edit to add]
Gen:Variant.MSILPerseus.209419 rilevato dal motore Bitdefender è questa robaccia qui
https://www.adaware.com/malware-descrip ... e798985395
un hacktool, probabilmente collegato a qualche crack..

[CesarMirror]

Adw cleaner già lo ho, nero tuneapp non so da dove sia sbucato fuori onestamente lol non ricordavo di averlo installato.
Riguardo il kms l'ho scaricato da un canale, potenzialmente scam con roba infetta, potrebbe anche essere sua la colpa...
A breve invio i log di eset

[leofelix]

ESET mi ha chiesto di disinstallare Kaspersky anti virus, ora faccio lo scan e poi invio i log.

al tempo, non mi era sfuggita questa tua risposta.
Sicuro che invece di Eset Online scanner non hai invece scaricato ESET internet security?

Il download diretto è qui

Codice: Seleziona tutto

https://download.eset.com/com/eset/tools/online_scanner/latest/esetonlinescanner_enu.exe

[cesarespecchio1]

sono sempre io, ho creato un account ex novo con email tranquilla perche wetransfer non funzionava piu e non volevo passare i log sul cellulare con canali sensibili.
questi sono i log di eset:

Rapporto
C:\Documents and Settings\\AppData\Local\Google\Chrome\User Data\Default\Cache\f_0019fb - HTML/ScrInject.B trojan horse
C:\Documents and Settings\\AppData\Local\Google\Chrome\User Data\Default\Cache\f_001a0f - HTML/ScrInject.B trojan horse
C:\Documents and Settings\\AppData\Roaming\uTorrent\updates\3.4.9_43388.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\AppData\Roaming\uTorrent\updates\3.5.0_43580.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\AppData\Roaming\uTorrent\updates\3.5.0_43916.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\AppData\Roaming\uTorrent\updates\3.5.0_44090.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\Dati applicazioni\uTorrent\updates\3.4.9_43388.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\Dati applicazioni\uTorrent\updates\3.5.0_43580.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\Dati applicazioni\uTorrent\updates\3.5.0_43916.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\Dati applicazioni\uTorrent\updates\3.5.0_44090.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Documents and Settings\\Impostazioni locali\Google\Chrome\User Data\Default\Cache\f_0019fb - HTML/ScrInject.B trojan horse
C:\Documents and Settings\\Impostazioni locali\Google\Chrome\User Data\Default\Cache\f_001a0f - HTML/ScrInject.B trojan horse
C:\Users\\AppData\Local\Google\Chrome\User Data\Default\Cache\f_0019fb - HTML/ScrInject.B trojan horse
C:\Users\\AppData\Local\Google\Chrome\User Data\Default\Cache\f_001a0f - HTML/ScrInject.B trojan horse
C:\Users\\AppData\Roaming\uTorrent\updates\3.4.9_43388.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\AppData\Roaming\uTorrent\updates\3.5.0_43580.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\AppData\Roaming\uTorrent\updates\3.5.0_43916.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\AppData\Roaming\uTorrent\updates\3.5.0_44090.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\Dati applicazioni\uTorrent\updates\3.4.9_43388.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\Dati applicazioni\uTorrent\updates\3.5.0_43580.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\Dati applicazioni\uTorrent\updates\3.5.0_43916.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\Dati applicazioni\uTorrent\updates\3.5.0_44090.exe - una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata
C:\Users\\Impostazioni locali\Google\Chrome\User Data\Default\Cache\f_0019fb - HTML/ScrInject.B trojan horse
C:\Users\\Impostazioni locali\Google\Chrome\User Data\Default\Cache\f_001a0f - HTML/ScrInject.B trojan horse
Numero di oggetti controllati: 607734
Numero di rilevamenti: 25
Numero totale di oggetti disinfettati: 1
Ora di completamento: 22:58:25 Tempo di controllo totale: 7242 sec (02:00:42)

Note:
[1] L'oggetto è stato eliminato poiché conteneva solo il corpo del virus.
[4] È impossibile aprire l'oggetto. L'oggetto potrebbe essere utilizzato da un'altra applicazione o da un altro sistema operativo.

/FINE

Mi chiedo, come mai mi fa solo il rapporto ma non puo eliminare la minaccia? o almeno, mi consente solo il tasto "ignora" anche se ha rilevato dei malware

[CesarMirror]

Eh si, ho scaricato internet security
Ora provvedo con l'altri

[leofelix]

Immagino che alcuni malware come C:\Users\\Impostazioni locali\Google\Chrome\User Data\Default\Cache\f_0019fb - HTML/ScrInject.B trojan horse
non sia riuscito a eliminarli dal momento che se stavi facendo la scansione con Chrome aperto Eset considerava il programma in uso.

Mannaggia, avrei dovuto specificare prima il link per il download a Eset Online scanner.

La versione di prova di ESET internet Security dovrebbe richiedere un account per funzionare o quanto meno si dovrebbe richiedere un codice di prova tramite e-mail.
uTorrent in sè non è malware, è un PuP che fa visualizzare pubblicità, certo se poi ci scarichi pure file poco puliti...

Prova a pulire accuratamente la cache di Chrome con a esempio BleachBit da https://www.bleachbit.org/download/windows
Attenzione perché è molto aggressivo, ti sconsiglio di fargli scaricare il file winapp2.ini
Qui una recensione di crazy.cat

https://turbolab.it/manutenzione-156/li ... bit-4-2747


Adesso non ti serve scaricare un altro antivirus, caso mai disinstalla Eset Internet Security, tanto hai WindowsDefender che ti protegge, e fai la scansione con ESET online scanner dal link corretto e con Chrome chiuso.

Scaricalo con Edge o con un altro browser se ne hai altri installati.

Un altro programma di disinfezione gratuita molto buono è Emsisoft Emergency Toolkit (non protegge in tempo reale, abilita la rilevazione PuP quando te lo chiede, non necessita nemmeno di installazione, scaricalo - con Edge o altro browser- eseguilo, aggiornalo e fagli fare una scansione malware, alla fine ti chiederà se vuoi proteggere il sistema con Emsisoft Internet Security - nega il permesso)

https://www.emsisoft.com/en/home/emergencykit/

[leofelix]

In ogni caso leggendo questo thread nel forum di Eset https://forum.eset.com/topic/13984-html ... tb-trojan/
capisco che HTML/ScrInject.B trojan horse l'infezione si trova in qualche sito che stavi visitando, se il virus è ancora attivo potrebbe averti dirottato lì, così come uTorrent con la sua pullicità ti abbia fatto lo stesso scherzo.
Va anche detto che Kaspersky Rescue CD rilevava un malware con nome simile nel sistema.

Eset Internet Security ti aveva forse avvisato che aveva bloccato qualche malware mentre navigavi?

[cesarespecchio1]

no, non ricordo di finestre di warn da parte di eset, rilevava solo i file infetti man man che cercava... ora vi mostro lo scan di eset online scanner.
comunque, a questo punto posso formattare windows e fare un'installazione pulita con usb? o dovrei assicurarmi di rimuovere tutte le tracce, compresa la cache di chrome, adw ecc..?

27/04/2020 06:10:51
File controllati: 484750
File rilevati: 4
File puliti: 4
Tempo di controllo totale 02:51:20
Stato controllo: Terminato


C:\Users\\AppData\Roaming\uTorrent\updates\3.4.9_43388.exe una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata risolto tramite eliminazione
C:\Users\\AppData\Roaming\uTorrent\updates\3.5.0_43580.exe una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata risolto tramite eliminazione
C:\Users\\AppData\Roaming\uTorrent\updates\3.5.0_43916.exe una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata risolto tramite eliminazione
C:\Users\\AppData\Roaming\uTorrent\updates\3.5.0_44090.exe una variante di Win32/uTorrent.C Applicazione potenzialmente indesiderata risolto tramite eliminazione

[leofelix]

Ciao,
Se hai una chiavetta USB avviabile già pronta e con una ISO pulita potresti pure, non prima di aver resettato Chrome con adwcleaner e fatta una ulteriore scansione con TDS killer per fargli rimuovere anche la prima voce e un',altra con Hitman pro (non al riavvio).
Altrimenti se hai modo di mettere mano a un PC pulito prepara la chiavetta da lì (, magari chiedi a un amico).
Io al tuo posto farei una scansione offline con Windows Defender pure (impostazioni > aggiornamento e sicurezza > opzioni di scansione).
Chrome offre anche tra le opzioni di ripristinare il browser e di disinfettarlo .
Va da sé che perderai eventuali estensioni, preferiti e presumo eventuali password salvate nel browser (ma se queste sono salvate anche sul tuo smartphone le puoi recuperare così come i preferiti).

Tuttavia se vuoi rischiare dal tuo PC, ripeti comunque scansione con TDS killer e Hitman pro e fai il reset di Chrome.
A tuo rischio e pericolo.

Quando avrai fatto tutto dovrai cambiare tutte le password e se proprio non ce la fai a evitare certi siti e certi programmi almeno usa sandboxie (crazy.cat ci ha scritto una recensione) ti eviterai un bel po' di grattacapi.

In bocca al lupo

[CesarMirror]

Grazie mille a tutti, molto esaustivi

[crazy.cat]

Grazie mille a tutti, molto esaustivi

Scusa cesar o cesare, perché dai risposte con due account diversi?

[leofelix]

Scusa cesar o cesare, perché dai risposte con due account diversi?

scusa se ti rispondo io, lo aveva detto qualche post sopra:

sono sempre io, ho creato un account ex novo con email tranquilla perche wetransfer non funzionava piu e non volevo passare i log sul cellulare con canali sensibili.

Ora cosa diamine sia wetranfer lo posso solo immaginare

@ Cesar
Poi se ci fai sapere come è andata, ne saremmo lieti.
Grazie

[crazy.cat]

scusa se ti rispondo io, lo aveva detto qualche post sopra:

Mi era sfuggito

[sondlive07]

Forse per wetransfer intende questo: https://wetransfer.com/.

Un servizio molto buono che mi è capitato di usarlo diverse volte per lavoro!

[CesarMirror]

Si, WeTransfer, ho voluto evitare di aprire la mia mail dal PC infetto, quindi usavo WeTransfer per passare gli screen dal PC al telefono, quando WeTransfer ha smesso di funzionare ho creato un account usa e getta (cesarespecchio1) per inviarle direttamente dal pc.
Ho lasciato il PC così com'era, dopo la disinfezione, per assicurarmi che non ci fossero altri sospetti, oggi faccio installazione pulita di Windows da USB e credo che la storia sia finita.

[CesarMirror]

OT/
Dovendo fare l'installazione pulita, e non volendo usare sotterfugi come chiavi di attivazione trovate in giro o KMS per attivare la licenza... Come trovo la mia chiave di attivazione per la licenza di Windows senza contattare il produttore? Ho un PC portatile con licenza digitale OEM, c'è qualche escamotage per risalire al mio codice di attivazione?

[crazy.cat]

Ho un PC portatile con licenza digitale OEM, c'è qualche escamotage per risalire al mio codice di attivazione?

Se la licenza era già attivata, in fase d'installazione non devi inserire nulla, al primo collegamento internet si riattiva da sola.
Non serve fare nulla.

[CesarMirror]

Ah bene, grazie