Trojan difficile da rimuovere, hacktool

[sexirutto]

Ciao , da poco mi hanno passato un notebook con la richiesta di aggiornarlo, e disinstallare software scaduti etc...
Fin li tutto ok, aggiorno, disinstallo eset scaduta la licenza ufficale, altri programmi etc.... poi faccio una scansione con malware b'ytes ma il pc risulta pulito, mentre windows defender (eset era scaduta la licenza a pagamento ed allora l'ho disintallato e messo defender su sistema operativo windows 10), prima fa lui una scansione veloce (defender) e trova questo " HACKTOOL:WIN64/AUTOKMS", mi pare di aver capito che questo kms attivi licenze di office (il pacchetto con word etc...), allora dico a defender di metterlo in quarantena, un'ora doppo faccio la scansione completa e me lo ritrovo li questo hacktool...me lo ritroverò anche domani mattina??? come lo elimino???
dati:
notebook , windows 10
PS: devo provare superantispyware, hit man pro non ha trovato nulla

[leofelix]

ciao,
allora, non è un trojan, ma come dice la parola stessa un hacktool che come anche tu affermi è un programma per attivare illegalmente o il SO o Office.
Qui trovi la definizione;
https://www.microsoft.com/en-us/wdsi/th ... 64/AutoKMS

Prova a fare una scansione con Microsoft Defender offline, come da questa guida
https://turbolab.it/sicurezza-13/guida- ... ffline-942

Quando avrà terminato la scansione, è bene che tu elimini tutti i file temporanei (se usi SuperAntispyware ti offre anche la possibilità di eliminare i files temporanei durante la scansione)
Non escludo che torni perchè è rimasta traccia nel ripristino di sistema nè che abbia lasciato altre tracce in altre cartelle.

Non posso nemmeno escludere che tu debba disinstallare completamente MS Office per rimuovere del tutto quell'hacktool.
C'è LibreOffice che è gratis e open source che può tranquillamente sostituire MS Office

[sexirutto]

Ti ringrazio, avevo pensato a fare scansione offline con defender , però non ho provato. Domani sera provo, ho una faccenda da sbrigare e putroppo il pc lo posso controllare la sera, io l'avrei anche disinstallato office, ma non essendo mio non mi permetto di farlo, anche perchè chi me lo ha chiesto, ha detto espressamente di non toccargli office, io gli ho suggerito lobre office (che utilizzo io, in fin de conti le controparti free ci sono e non hanno nulla da invidiare al pacchetto office), ma non ne vuole sapere. domani provvederò a fare tutto. Per ora grazie.

[crazy.cat]

ha detto espressamente di non toccargli office

Visto che ti ha detto di non toccarlo vuol dire che dovrebbe essere consapevole di avere un office illegale.
Non è un virus e quindi io lo lascerei stare.
In ogni caso il file potrebbe essere già stato eliminato e rimasto solo nella cronologia dell'antivirus e per questo continua a mostrartelo.

[sarevede]

Apri Gestione attività – Processi – fai clic su KMS e Termina Attività poi elimina la cartella
In C:\Program Files (x86)\Microsoft Office\root\Licenses16 elimina tutti i file KMS

[ctsvevo]

ha detto espressamente di non toccargli office

Visto che ti ha detto di non toccarlo vuol dire che dovrebbe essere consapevole di avere un office illegale.
Non è un virus e quindi io lo lascerei stare.
In ogni caso il file potrebbe essere già stato eliminato e rimasto solo nella cronologia dell'antivirus e per questo continua a mostrartelo.

Quoto.

Dissento dal fatto che il KMS Tool (nelle sue varie declinazioni) venga considerato la porta dell'illegalità.

Cosa sono i KMS?

KMS è un acronimo di Key Manager System, è il metodo che Microsoft e altre aziende hanno scelto per permettere la contemporanea attivazione di molti PC con licenze di tipo Volume. L’utilizzo di un KMS è davvero comodo per i sistemisti, che così non hanno bisogno di attivare ogni singolo PC della rete aziendale ma lasciano che sia il tool, fornito da Microsoft, a fornire ad ogni sistema il product key e validare l’avvenuta attivazione.

Se i KMS vengono da Microsoft cosa c'entrano con i pirati?

I pirati hanno pensato che il metodo più comodo per attivare gratis i prodotti di Microsoft (Windows e Office) consistesse proprio nell’emulare i KMS, creandone di propri che attivano in modo pirata i prodotti. Di fatto, questi tool funzionano tutti in modo simile e concettualmente semplice, attivano ad ogni avvio il sistema con una chiave Volume o trial (da 180 o 45 giorni) nuova, così da prorogare all’infinito la scadenza.

Tralascio altre considerazioni (è chiaro che i tool KMS pirata non sono legali, che i KMS pirata sono pericolosi e che è sconsigliabile utilizzare un tool KMS pirata) e vi riporto la mia esperienza.
PC notebook acquistato anni fa da Media World con acquisto di licenza MS Office a parte, il tutto da scaricare online (Office non era precaricato).
Dopo 6 mesi, mio cugino (l'acquirente) mi ha fatto tribolare: licenza scaduta, licenza non valida, chiave non riconosciuta e altri problemi che Media World non ci ha saputo risolvere se non con un "lasciate l'MSI e lo inviamo a loro per formattarlo e installargli un nuovo Office senza pagare nulla!"... Cioè dovevamo privarci del PC per non so quanto tempo, fare vari backup (quelli li si fanno sempre, sono d'accordo) e poi stare a riconfigurare tutte le personalizzazioni daccapo solo perché il controllo paranoico di Office si era imballato?
Risolto nella maniera più indolore possibile: avviato KMSpico, patchato Office, adesso funziona tutto!

Tanti anni fa mi era successa la stessa cosa con un programma craccato, che mi permetteva finalmente l'aggiornamento senza problemi dalla versione 8 del programma alla versione 9 che invece i software originali (avevo profumatamente pagate entrambe le versioni in originale) non mi riconoscevano...

[sexirutto]

Grazie mille a tutti per le risposte, gentilissimi.
Il pc lo riconsegno sabato alla persona gli ho lasciato le cose come voleva, cmq ho fatto un'altra scansione con defender e non ha trovato nulla, scansionato pure con superantispyware e non ha trovato nulla, il pc è aggiornato e tutto fila liscio.