Attacchi ping of death automatici all'accensione del pc di mio padre
Regole del forum
- tekmanfixer777
- Livello: DVD-ROM (5/15)
- Messaggi: 114
- Iscritto il: mer ago 09, 2023 8:23 pm
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
- Matilda12
- Livello: Workstation (10/15)
- Messaggi: 1258
- Iscritto il: ven ott 18, 2013 2:18 pm
- Località: Marche
- Contatta:
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
Capisco perfettamente.
Vedi e valuta tu, insieme a tuo padre. Se leggi l'articolo di crazy.cat che ti ho prima segnalato, vedrai che Autoruns è disponibile anche versione portable, quindi non necessita di alcuna installazione.
Potrebbe essere utile questa strada perché ti fornisce un elenco di "elementi attivi" e accanto ti dice se sono verificati (conosciuti) o meno. Per questo mi sono permesso di suggerirlo.
Dante (Purgatorio, Canto XXII)
- tekmanfixer777
- Livello: DVD-ROM (5/15)
- Messaggi: 114
- Iscritto il: mer ago 09, 2023 8:23 pm
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
- tekmanfixer777
- Livello: DVD-ROM (5/15)
- Messaggi: 114
- Iscritto il: mer ago 09, 2023 8:23 pm
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
- tekmanfixer777
- Livello: DVD-ROM (5/15)
- Messaggi: 114
- Iscritto il: mer ago 09, 2023 8:23 pm
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
- Matilda12
- Livello: Workstation (10/15)
- Messaggi: 1258
- Iscritto il: ven ott 18, 2013 2:18 pm
- Località: Marche
- Contatta:
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
Innanzitutto mi sembra di capire che nell'elaboratore incriminato, quello di tuo padre, sia installato Teams di Microsoft.
Così mi sono procurato una macchina dove avessi anch'io installato Teams ed ecco la screenshot ottenuta.
Come vedi, nel mio caso Autoruns non segnala nulla di particolare. Sembrerebbe essere, per me, tutto. Questo mi dà da pensare.
Cercando un po' in rete con la stringa ".com squirrels teams" (come da te riportata), trovo, per esempio, il seguente articolo:
Squirrel Exploit Leaves Microsoft Teams Vulnerable to Privilege Escalation
Sempre richiamata la premessa di questo mio post, ossia attendi un intervento più qualificato del mio, potrebbe esserci qualcosa che non quadra sull'update di Teams.
Hai per caso una versione vecchia? O non correttamente licenziata?
Potresti, se te la senti, disattivare la voce (devi togliere il segno di spunta in corrispondenza della voce segnalata da Autoruns, con privilegi di amministratore però!) segnalata in rosso, quindi riavviare la macchina di tuo padre e vedere se i ping continuano.
Non ti dico di rimuovere Teams (per reinstallarlo successivamente, sempre), ma una prova che farei potrebbe essere questa.
Oppure, ancora più indolore, cliccando con il pulsante destro sopra la voce in rosso ti comparirà un menù contestuale, dove puoi selezionare la voce "Check VirusTotal", confermare il loro "Terms of Service ", quindi cliccare di nuovo sulla voce e stavolta scegliere "Submit File to VirusTotal" ... francamente ho provato a farlo anch'io, ma forse per la vetustà del mio browser, non accade nulla ... mannaggia!
A limite, vai direttamente su https://www.virustotal.com/gui/ e carica manualmente il tuo "C:\Users\nomeutente\AppData\Local\Microsoft\Teams\Update.exe".
Insomma, sono un po' di prove da fare, se non vuoi attendere il suggerimento di altri e se hai tempo e voglia ...
Dante (Purgatorio, Canto XXII)
- Matilda12
- Livello: Workstation (10/15)
- Messaggi: 1258
- Iscritto il: ven ott 18, 2013 2:18 pm
- Località: Marche
- Contatta:
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
Hai perfettamente ragione.Zigul ha scritto: ↑ven ott 20, 2023 10:48 am Considera che autoruns non segnala in rosso i file malevoli, ma solo quelli sospetti per assenza di alcune informazioni (autore, firma, etc.). Puoi trovare in rosso anche dll importanti e affidabili, mentre un malware potrebbe essere tranquillamente non segnalato; in caso di "strane presenze" sta all'utente cliccare con il tasto destro e controllare il file sospetto su VIrus Total ("Check Virus Total").
Però è strano che nel mio caso Autoruns non segnali nulla di anomalo, mentre per tekmanfixer777 la voce risulti in rosso.
Qualcosa sul "suo" update di Teams?
Dante (Purgatorio, Canto XXII)
- crazy.cat
- Amministratore
- Messaggi: 12555
- Iscritto il: mer mag 01, 2013 4:02 pm
- Località: Noventa Padovana
- Contatta:
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
Eliminando o coprendo eventuali dati personali?
@matilda
Usi ancora winpatrol?
Non lo vedevo da anni....
- Matilda12
- Livello: Workstation (10/15)
- Messaggi: 1258
- Iscritto il: ven ott 18, 2013 2:18 pm
- Località: Marche
- Contatta:
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
Eh, già! Devo ammettere che l'ho installato secoli addietro in tutti gli elaboratori che mi sono passati sotto le mani e, poi, non l'ho più eliminato ... e, ti dirò, al lavoro, quando ci installano da remoto qualche programmino gradito al CED che vuole auto-avviarsi, WinPatrol mi avvisa sempre di nuovi ospiti ...
Dante (Purgatorio, Canto XXII)
- Matilda12
- Livello: Workstation (10/15)
- Messaggi: 1258
- Iscritto il: ven ott 18, 2013 2:18 pm
- Località: Marche
- Contatta:
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
Dante (Purgatorio, Canto XXII)
- Matilda12
- Livello: Workstation (10/15)
- Messaggi: 1258
- Iscritto il: ven ott 18, 2013 2:18 pm
- Località: Marche
- Contatta:
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
Nel mio caso, a chiave "pulita" (almeno secondo l'antivirus in dotazione e Autoruns), dovrebbe essere:
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- com.squirrel.Teams.Teams
- C:\Users\nomeutente\AppData\Local\Microsoft\Teams\Update.exe --processStart "Teams.exe" --process-start-args "--system-initiated"
Dante (Purgatorio, Canto XXII)
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
Non è da escludere; se ha del tempo da spenderci, potrebbe provare (non so se è stato già consigliato) a fare un clean boot (info) o avviare il PC in safe mode con networking (info), per verificare che il "male" sia interno ed eventualmente capire qual è il processo che lo causa. In questo caso, che lo tsunami di "interessi malevoli" sia rilevato anche da altri PC, è, a suo modo, un vantaggio per la diagnosi: appena viene attivato il processo maligno nel PC del padre, il firewall nel PC del figlio segnalerà l'arrivo degli attacchi, chiudendo il cerchio (o almeno lo spero...).
- Matilda12
- Livello: Workstation (10/15)
- Messaggi: 1258
- Iscritto il: ven ott 18, 2013 2:18 pm
- Località: Marche
- Contatta:
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
Ho fatto la (mia solita) figura del ciambotto ... in realtà, dopo aver scelto "Submit File to VirusTotal" è sufficiente guardare un pochino più a destra, sempre dentro la finestra di Autoruns, per trovare la colonna "Virus Total" ... ... il risultato è lì.Matilda12 ha scritto: ↑ven ott 20, 2023 10:51 am Oppure, ancora più indolore, cliccando con il pulsante destro sopra la voce in rosso ti comparirà un menù contestuale, dove puoi selezionare la voce "Check VirusTotal", confermare il loro "Terms of Service ", quindi cliccare di nuovo sulla voce e stavolta scegliere "Submit File to VirusTotal" ... francamente ho provato a farlo anch'io, ma forse per la vetustà del mio browser, non accade nulla ... mannaggia!
Inizio a propendere più su qualche argomento che può essere stato proditoriamente aggiunto alla chiave di registro RUN che lancia Update.exe ... farei prima un controllo di questo tipo, poi, come accennato, proverei a disattivare (temporaneamente) la voce che lancia proprio l'update, un bel riavvio e vedere se i ping riappaiono.
Dante (Purgatorio, Canto XXII)
- tekmanfixer777
- Livello: DVD-ROM (5/15)
- Messaggi: 114
- Iscritto il: mer ago 09, 2023 8:23 pm
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
Ultima modifica di tekmanfixer777 il ven ott 20, 2023 1:00 pm, modificato 1 volta in totale.
- Matilda12
- Livello: Workstation (10/15)
- Messaggi: 1258
- Iscritto il: ven ott 18, 2013 2:18 pm
- Località: Marche
- Contatta:
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
Quindi hai seguito i suggerimenti di Zigul? Ossia:tekmanfixer777 ha scritto: ↑ven ott 20, 2023 12:38 pm ... Ho provato ad avviare pulito e sembra non accadere. ...
Oppure hai semplicemente disattivato la voce che gestisce l'update di Teams da Autoruns (e poi riavviato)?Zigul ha scritto: ↑ven ott 20, 2023 12:06 pm ... se ha del tempo da spenderci, potrebbe provare (non so se è stato già consigliato) a fare un clean boot (info) o avviare il PC in safe mode con networking (info), per verificare che il "male" sia interno ed eventualmente capire qual è il processo che lo causa. ...
Dante (Purgatorio, Canto XXII)
- tekmanfixer777
- Livello: DVD-ROM (5/15)
- Messaggi: 114
- Iscritto il: mer ago 09, 2023 8:23 pm
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
- Matilda12
- Livello: Workstation (10/15)
- Messaggi: 1258
- Iscritto il: ven ott 18, 2013 2:18 pm
- Località: Marche
- Contatta:
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
Ok, capito!
Temo che VirusTotal, analizzando il file Update.exe in sé, ti dirà che è tutto ok.tekmanfixer777 ha scritto: ↑ven ott 20, 2023 1:01 pm Dovrei provare quello che dici tu oltre a vedere su VirusTotal...
A me viene il sospetto che la chiave di registro che lancia l'update di Teams possa essere "contaminata", dando comunque il via a qualcosa di non regolare.
Sempre per curiosità, farei un avvio normale dell'elaboratore di tuo padre, poi, lanciato Autoruns come amministratore, toglierei (temporaneamente) il segno di spunta in corrispondenza della voce segnalata proprio da Autoruns, così da impedire ogni esecuzione al prossimo avvio. Riavvia l'elaboratore e vedi se, con la chiave di Teams "spenta", i ping continuano a ripresentarsi.
Sempre se hai tempo e modo, ovvio.
Dante (Purgatorio, Canto XXII)
- tekmanfixer777
- Livello: DVD-ROM (5/15)
- Messaggi: 114
- Iscritto il: mer ago 09, 2023 8:23 pm
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
- Matilda12
- Livello: Workstation (10/15)
- Messaggi: 1258
- Iscritto il: ven ott 18, 2013 2:18 pm
- Località: Marche
- Contatta:
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
In che senso ti dà "Error..."? Prova ad allargare la colonna: forse ti dice che non trova proprio il file da controllare? Questo spiegherebbe pure perché la voce è segnalata (manca addirittura il file).
Allora l'update di Teams non sarebbe più oggetto incriminato ...
Ma Teams è regolarmente installato e funzionante?
Hai ragione.tekmanfixer777 ha scritto: ↑ven ott 20, 2023 1:14 pm Non voglio cancellare il file da Autoruns perché ho paura che poi scompaia e non so più dove trovarlo se mi serve.
Posso dirti, per la mia esperienza e per quel che vale, che non devi assolutamente cancellare nulla. E' sufficiente togliere temporaneamente il segno di spunta, per non far partire il processo/servizio associato al successivo riavvio.
Poi, fatte le tue prove, lanci nuovamente Autoruns e rimetti la spunta sulla voce in precedenza deselezionata.
Intendiamoci: a me così è andata sempre bene, ma non voglio indurti a infilarti in ulteriori disastri!
Dante (Purgatorio, Canto XXII)
- tekmanfixer777
- Livello: DVD-ROM (5/15)
- Messaggi: 114
- Iscritto il: mer ago 09, 2023 8:23 pm
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
- Matilda12
- Livello: Workstation (10/15)
- Messaggi: 1258
- Iscritto il: ven ott 18, 2013 2:18 pm
- Località: Marche
- Contatta:
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
tekmanfixer777 ha scritto: ↑ven ott 20, 2023 1:31 pm Se avessi visto prima la tua risposta avrei già fatto ahaha ora devo riaccendere il pc, appena posso
Nessun problema.
L'unica perplessità che mi resta, e qui Zigul può venirmi in soccorso, è che non credo tu possa fare sempre un avvio pulito. Intendo dire che, presto o tardi, dovrai selettivamente riattivare quei processi e servizi che, almeno uno di quelli, stimolano i ping ...
Dante (Purgatorio, Canto XXII)
- tekmanfixer777
- Livello: DVD-ROM (5/15)
- Messaggi: 114
- Iscritto il: mer ago 09, 2023 8:23 pm
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
- Matilda12
- Livello: Workstation (10/15)
- Messaggi: 1258
- Iscritto il: ven ott 18, 2013 2:18 pm
- Località: Marche
- Contatta:
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
Mi dispiace! Ti ho fatto dare la caccia alle streghe.
Per me:
Temo, purtroppo, resti il problema di fondo: qualcosa "parte" all'accensione normale dell'elaboratore e dà il via agli attacchi.
Se vuoi, puoi leggere questo articolo di crazy.cat: Tenere sotto controllo quali processi si collegano a Internet
Mi permetto di dire focalizzandoti sul programma recensito che si chiama CurrPorts.
Riporto:
... e, quindi, andare alla caccia di processi "strani", magari facendoti aiutare dagli esperti qui del forum!crazy.cat ha scritto: CurrPorts è una delle tante piccole utility portable della Nirsoft, basta scaricare la versione a 32 Bit o quella a 64 Bit, a seconda del vostro sistema operativo, e la traduzione in italiano del programma, estraete il tutto in una cartella qualsiasi e avviate il programma. CurrPorts visualizza il traffico attivo in quel momento, se aprite un nuovo programma questo non si visualizza, bisogna aggiornare la pagina con F5 o cliccando sull’icona vicino al floppy disk. Cliccando con il tasto destro del mouse su un programma attivo appare un menu da cui potete terminare il collegamento o salvare un report dettagliato.
--- ADDENDUM ---
Forse è sfuggito a me: quale antivirus è impiegato sull'elaboratore di tuo padre?
Hai provato a leggere Utilizzare Kaspersky Rescue Disk per ripulire un computer infetto da malware?
Dante (Purgatorio, Canto XXII)
Re: Attacchi ping of death automatici all'accensione del pc di mio padre
Sì, l'idea di fondo dell'avvio pulito è accertarsi che il colpevole sia un processo che non parte con l'avvio pulito, altrimenti la faccenda diventa ancor più delicata e complessa. Poi vanno riavviati gradualmente i vari processi e programmi, controllando nel PC che segnala gli attacchi quando questi ricominciano (ossia in concomitanza con la riattivazione del processo colpevole); è una procedura che richiede tempo e pazienza. Se così non viene individuato il colpevole, si potrebbe anche frugare nella cartella RunOnce (info) o in altre chiavi di registro, ma è roba da "chirurghi" quindi alzo le mani.Matilda12 ha scritto: ↑ven ott 20, 2023 1:41 pm L'unica perplessità che mi resta, e qui Zigul può venirmi in soccorso, è che non credo tu possa fare sempre un avvio pulito. Intendo dire che, presto o tardi, dovrai selettivamente riattivare quei processi e servizi che, almeno uno di quelli, stimolano i ping ...
-
- Argomenti simili
- Risposte
- Visite
- Ultimo messaggio