TurboLab.it

Inviato: **gio ott 19, 2023 6:28 pm**

Il Kaspersky è sul mio pc e blocca tutto, almeno per ora...gli attacchi iniziano solo e se viene acceso il pc di mio padre...non so per autorun, devo vedere se posso

Inviato: **gio ott 19, 2023 7:24 pm**

tekmanfixer777 ha scritto: ↑gio ott 19, 2023 6:28 pm ...non so per autorun, devo vedere se posso

Capisco perfettamente.

Vedi e valuta tu, insieme a tuo padre. Se leggi l'articolo di crazy.cat che ti ho prima segnalato, vedrai che Autoruns è disponibile anche versione portable, quindi non necessita di alcuna installazione.
Potrebbe essere utile questa strada perché ti fornisce un elenco di "elementi attivi" e accanto ti dice se sono verificati (conosciuti) o meno. Per questo mi sono permesso di suggerirlo.

Inviato: **gio ott 19, 2023 7:46 pm**

Certo, grazie mille, sicuramente vedrò, sono troppo curioso ;D

Inviato: **ven ott 20, 2023 9:53 am**

Unico elemento segnato in rosso su Autoruns è .com squirrels teams nella cartella C:\Users

Inviato: **ven ott 20, 2023 10:34 am**

vedo che è un software di screen mirroring

Inviato: **ven ott 20, 2023 10:48 am**

Considera che autoruns non segnala in rosso i file malevoli, ma solo quelli sospetti per assenza di alcune informazioni (autore, firma, etc.). Puoi trovare in rosso anche dll importanti e affidabili, mentre un malware potrebbe essere tranquillamente non segnalato; in caso di "strane presenze" sta all'utente cliccare con il tasto destro e controllare il file sospetto su VIrus Total ("Check Virus Total").

Inviato: **ven ott 20, 2023 10:51 am**

Prendi tutto quello che sto per dire con le pinze, soprattutto in attesa di un intervento più qualificato del mio, ma a seguire ti riporto la mia esperienza e qualche considerazione.

Innanzitutto mi sembra di capire che nell'elaboratore incriminato, quello di tuo padre, sia installato Teams di Microsoft.
Così mi sono procurato una macchina dove avessi anch'io installato Teams ed ecco la screenshot ottenuta.

Come vedi, nel mio caso Autoruns non segnala nulla di particolare. Sembrerebbe essere, per me, tutto. Questo mi dà da pensare.

Cercando un po' in rete con la stringa ".com squirrels teams" (come da te riportata), trovo, per esempio, il seguente articolo:
Squirrel Exploit Leaves Microsoft Teams Vulnerable to Privilege Escalation

Sempre richiamata la premessa di questo mio post, ossia attendi un intervento più qualificato del mio, potrebbe esserci qualcosa che non quadra sull'update di Teams.
Hai per caso una versione vecchia? O non correttamente licenziata?

Potresti, se te la senti, disattivare la voce (devi togliere il segno di spunta in corrispondenza della voce segnalata da Autoruns, con privilegi di amministratore però!) segnalata in rosso, quindi riavviare la macchina di tuo padre e vedere se i ping continuano.
Non ti dico di rimuovere Teams (per reinstallarlo successivamente, sempre), ma una prova che farei potrebbe essere questa.

Oppure, ancora più indolore, cliccando con il pulsante destro sopra la voce in rosso ti comparirà un menù contestuale, dove puoi selezionare la voce "Check VirusTotal", confermare il loro "Terms of Service ", quindi cliccare di nuovo sulla voce e stavolta scegliere "Submit File to VirusTotal" ... francamente ho provato a farlo anch'io, ma forse per la vetustà del mio browser, non accade nulla ... mannaggia!

A limite, vai direttamente su https://www.virustotal.com/gui/ e carica manualmente il tuo "C:\Users\nomeutente\AppData\Local\Microsoft\Teams\Update.exe".

Insomma, sono un po' di prove da fare, se non vuoi attendere il suggerimento di altri e se hai tempo e voglia ...

Inviato: **ven ott 20, 2023 10:52 am**

Zigul ha scritto: ↑ven ott 20, 2023 10:48 am Considera che autoruns non segnala in rosso i file malevoli, ma solo quelli sospetti per assenza di alcune informazioni (autore, firma, etc.). Puoi trovare in rosso anche dll importanti e affidabili, mentre un malware potrebbe essere tranquillamente non segnalato; in caso di "strane presenze" sta all'utente cliccare con il tasto destro e controllare il file sospetto su VIrus Total ("Check Virus Total").

Hai perfettamente ragione.
Però è strano che nel mio caso Autoruns non segnali nulla di anomalo, mentre per tekmanfixer777 la voce risulti in rosso.

Qualcosa sul "suo" update di Teams?

Inviato: **ven ott 20, 2023 10:55 am**

E' possibile vedere tutto il log di autoruns?
Eliminando o coprendo eventuali dati personali?

@matilda
Usi ancora winpatrol?
Non lo vedevo da anni....

Inviato: **ven ott 20, 2023 11:05 am**

crazy.cat ha scritto: ↑ven ott 20, 2023 10:55 am @matilda
Usi ancora winpatrol?
Non lo vedevo da anni....

Eh, già! Devo ammettere che l'ho installato secoli addietro in tutti gli elaboratori che mi sono passati sotto le mani e, poi, non l'ho più eliminato ... e, ti dirò, al lavoro, quando ci installano da remoto qualche programmino gradito al CED che vuole auto-avviarsi, WinPatrol mi avvisa sempre di nuovi ospiti ...

Inviato: **ven ott 20, 2023 11:12 am**

tekmanfixer777, segui innanzitutto il suggerimento di crazy.cat, nel frattempo, sperando di fare cosa utile, ecco le "caratteristiche" del "mio" Update.exe di Teams.

Inviato: **ven ott 20, 2023 11:33 am**

Non vorrei fuorviare le ricerche delle cause del problema che affligge tekmanfixer777, ma leggendo (per quel che sono riuscito a capire!!!) l'articolo "Teams Updater Vulnerability", sempre e magari servendosi di Autoruns, potrebbe essere interessante capire come è strutturata la chiave di registro che lancia Update.exe.

Nel mio caso, a chiave "pulita" (almeno secondo l'antivirus in dotazione e Autoruns), dovrebbe essere:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
com.squirrel.Teams.Teams
C:\Users\nomeutente\AppData\Local\Microsoft\Teams\Update.exe --processStart "Teams.exe" --process-start-args "--system-initiated"

senza altri argomenti, ecco.

Inviato: **ven ott 20, 2023 12:06 pm**

Matilda12 ha scritto: ↑ven ott 20, 2023 10:52 am Qualcosa sul "suo" update di Teams?

Non è da escludere; se ha del tempo da spenderci, potrebbe provare (non so se è stato già consigliato) a fare un clean boot (info) o avviare il PC in safe mode con networking (info), per verificare che il "male" sia interno ed eventualmente capire qual è il processo che lo causa. In questo caso, che lo tsunami di "interessi malevoli" sia rilevato anche da altri PC, è, a suo modo, un vantaggio per la diagnosi: appena viene attivato il processo maligno nel PC del padre, il firewall nel PC del figlio segnalerà l'arrivo degli attacchi, chiudendo il cerchio (o almeno lo spero...).

Inviato: **ven ott 20, 2023 12:21 pm**

Matilda12 ha scritto: ↑ven ott 20, 2023 10:51 am Oppure, ancora più indolore, cliccando con il pulsante destro sopra la voce in rosso ti comparirà un menù contestuale, dove puoi selezionare la voce "Check VirusTotal", confermare il loro "Terms of Service ", quindi cliccare di nuovo sulla voce e stavolta scegliere "Submit File to VirusTotal" ... francamente ho provato a farlo anch'io, ma forse per la vetustà del mio browser, non accade nulla ... mannaggia!

Ho fatto la (mia solita) figura del ciambotto ... in realtà, dopo aver scelto "Submit File to VirusTotal" è sufficiente guardare un pochino più a destra, sempre dentro la finestra di Autoruns, per trovare la colonna "Virus Total" ...

... il risultato è lì.

Zigul ha scritto: ↑ven ott 20, 2023 12:06 pm
Matilda12 ha scritto: ↑ven ott 20, 2023 10:52 am Qualcosa sul "suo" update di Teams?
Non è da escludere ...

Inizio a propendere più su qualche argomento che può essere stato proditoriamente aggiunto alla chiave di registro RUN che lancia Update.exe ... farei prima un controllo di questo tipo, poi, come accennato, proverei a disattivare (temporaneamente) la voce che lancia proprio l'update, un bel riavvio e vedere se i ping riappaiono.

Inviato: **ven ott 20, 2023 12:38 pm**

Sì, è come il tuo Autoruns. Ho provato ad avviare pulito e sembra non accadere. Dico sembra perché magari è una cosa che succede all'accensione fisica del pc... Nei servizi disabilitati vedo roba Intel, Realtek e Avira, nulla di sospetto almeno per me.

Inviato: **ven ott 20, 2023 12:48 pm**

tekmanfixer777 ha scritto: ↑ven ott 20, 2023 12:38 pm ... Ho provato ad avviare pulito e sembra non accadere. ...

Quindi hai seguito i suggerimenti di Zigul? Ossia:

Zigul ha scritto: ↑ven ott 20, 2023 12:06 pm ... se ha del tempo da spenderci, potrebbe provare (non so se è stato già consigliato) a fare un clean boot (info) o avviare il PC in safe mode con networking (info), per verificare che il "male" sia interno ed eventualmente capire qual è il processo che lo causa. ...

Oppure hai semplicemente disattivato la voce che gestisce l'update di Teams da Autoruns (e poi riavviato)?

Inviato: **ven ott 20, 2023 1:01 pm**

Avevo seguito Zigul. Dovrei provare quello che dici tu oltre a vedere su VirusTotal...

Inviato: **ven ott 20, 2023 1:13 pm**

tekmanfixer777 ha scritto: ↑ven ott 20, 2023 1:01 pm Avevo seguito Zigul.

Ok, capito!

tekmanfixer777 ha scritto: ↑ven ott 20, 2023 1:01 pm Dovrei provare quello che dici tu oltre a vedere su VirusTotal...

Temo che VirusTotal, analizzando il file Update.exe in sé, ti dirà che è tutto ok.
A me viene il sospetto che la chiave di registro che lancia l'update di Teams possa essere "contaminata", dando comunque il via a qualcosa di non regolare.
Sempre per curiosità, farei un avvio normale dell'elaboratore di tuo padre, poi, lanciato Autoruns come amministratore, toglierei (temporaneamente) il segno di spunta in corrispondenza della voce segnalata proprio da Autoruns, così da impedire ogni esecuzione al prossimo avvio. Riavvia l'elaboratore e vedi se, con la chiave di Teams "spenta", i ping continuano a ripresentarsi.
Sempre se hai tempo e modo, ovvio.

Inviato: **ven ott 20, 2023 1:14 pm**

VirusTotal dà Error...Non voglio cancellare il file da Autoruns perché ho paura che poi scompaia e non so più dove trovarlo se mi serve.

Inviato: **ven ott 20, 2023 1:25 pm**

tekmanfixer777 ha scritto: ↑ven ott 20, 2023 1:14 pm VirusTotal dà Error...

In che senso ti dà "Error..."? Prova ad allargare la colonna: forse ti dice che non trova proprio il file da controllare? Questo spiegherebbe pure perché la voce è segnalata (manca addirittura il file).
Allora l'update di Teams non sarebbe più oggetto incriminato ...

Ma Teams è regolarmente installato e funzionante?

tekmanfixer777 ha scritto: ↑ven ott 20, 2023 1:14 pm Non voglio cancellare il file da Autoruns perché ho paura che poi scompaia e non so più dove trovarlo se mi serve.

Hai ragione.
Posso dirti, per la mia esperienza e per quel che vale, che non devi assolutamente cancellare nulla. E' sufficiente togliere temporaneamente il segno di spunta, per non far partire il processo/servizio associato al successivo riavvio.
Poi, fatte le tue prove, lanci nuovamente Autoruns e rimetti la spunta sulla voce in precedenza deselezionata.

Intendiamoci: a me così è andata sempre bene, ma non voglio indurti a infilarti in ulteriori disastri!

Inviato: **ven ott 20, 2023 1:31 pm**

Se avessi visto prima la tua risposta avrei già fatto ahaha ora devo riaccendere il pc, appena posso

Inviato: **ven ott 20, 2023 1:41 pm**

tekmanfixer777 ha scritto: ↑ven ott 20, 2023 1:31 pm Se avessi visto prima la tua risposta avrei già fatto ahaha ora devo riaccendere il pc, appena posso

Nessun problema.

L'unica perplessità che mi resta, e qui Zigul può venirmi in soccorso, è che non credo tu possa fare sempre un avvio pulito. Intendo dire che, presto o tardi, dovrai selettivamente riattivare quei processi e servizi che, almeno uno di quelli, stimolano i ping ...

Inviato: **ven ott 20, 2023 1:54 pm**

VirusTotal 0/76 e anche dopo averlo disattivato si ripetono gli attacchi ping of death, non è lui.

Inviato: **ven ott 20, 2023 2:19 pm**

tekmanfixer777 ha scritto: ↑ven ott 20, 2023 1:54 pm ... non è lui.

Mi dispiace! Ti ho fatto dare la caccia alle streghe.

Per me:

Temo, purtroppo, resti il problema di fondo: qualcosa "parte" all'accensione normale dell'elaboratore e dà il via agli attacchi.

Se vuoi, puoi leggere questo articolo di crazy.cat: Tenere sotto controllo quali processi si collegano a Internet

Mi permetto di dire focalizzandoti sul programma recensito che si chiama CurrPorts.
Riporto:

crazy.cat ha scritto: CurrPorts è una delle tante piccole utility portable della Nirsoft, basta scaricare la versione a 32 Bit o quella a 64 Bit, a seconda del vostro sistema operativo, e la traduzione in italiano del programma, estraete il tutto in una cartella qualsiasi e avviate il programma. CurrPorts visualizza il traffico attivo in quel momento, se aprite un nuovo programma questo non si visualizza, bisogna aggiornare la pagina con F5 o cliccando sull’icona vicino al floppy disk. Cliccando con il tasto destro del mouse su un programma attivo appare un menu da cui potete terminare il collegamento o salvare un report dettagliato.

... e, quindi, andare alla caccia di processi "strani", magari facendoti aiutare dagli esperti qui del forum!

--- ADDENDUM ---
Forse è sfuggito a me: quale antivirus è impiegato sull'elaboratore di tuo padre?
Hai provato a leggere Utilizzare Kaspersky Rescue Disk per ripulire un computer infetto da malware?

Inviato: **ven ott 20, 2023 2:57 pm**

Matilda12 ha scritto: ↑ven ott 20, 2023 1:41 pm L'unica perplessità che mi resta, e qui Zigul può venirmi in soccorso, è che non credo tu possa fare sempre un avvio pulito. Intendo dire che, presto o tardi, dovrai selettivamente riattivare quei processi e servizi che, almeno uno di quelli, stimolano i ping ...

Sì, l'idea di fondo dell'avvio pulito è accertarsi che il colpevole sia un processo che non parte con l'avvio pulito, altrimenti la faccenda diventa ancor più delicata e complessa. Poi vanno riavviati gradualmente i vari processi e programmi, controllando nel PC che segnala gli attacchi quando questi ricominciano (ossia in concomitanza con la riattivazione del processo colpevole); è una procedura che richiede tempo e pazienza. Se così non viene individuato il colpevole, si potrebbe anche frugare nella cartella RunOnce (info) o in altre chiavi di registro, ma è roba da "chirurghi" quindi alzo le mani.

TurboLab.it

Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre

Re: Attacchi ping of death automatici all'accensione del pc di mio padre