Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Virus/Malware Powershell 1.0 .exe
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 7719

MessaggioInviato: 06 Feb 2019 18:34    Oggetto: Rispondi citando

Scusa R16 per l'intromissione, ma può essere possibile che poweshell si sia settato in automatico all'avvio di Windows, o come servizio?
Può essere utile controllare in gestione attività o nei servizi di Windows?
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9902

MessaggioInviato: 06 Feb 2019 19:14    Oggetto: Rispondi citando

Ciao Mary.
Non devi scusarti per l'intromissione, sei sempre bene accetta qui.
Citazione:
ma può essere possibile che poweshell si sia settato in automatico all'avvio di Windows, o come servizio?

Se lo fosse gli compariva anche prima di cliccare quel link che gli ha infettato il pc.
Quindi a mio parere, quello è un rimasuglio del virus rimasto.
Inoltre l'utente ha fatto dei tentativi di soluzione per conto proprio o aiutato da altre persone.
Infatti: Comodo, Troyan Remover e FRST son stati usati PRIMA della sua inscrizione in questo forum. Aveva anche i fixlist di FRST, quindi il pc è stato "bonificato" da altri, l'unico problema è che è rimasta quella chiave.
Devo solo trovare dove si trova.
Top
Profilo Invia messaggio privato
nicbina
Mortale pio
Mortale pio


Registrato: 03/02/19 17:15
Messaggi: 22

MessaggioInviato: 06 Feb 2019 22:09    Oggetto: Rispondi citando

Fixlog.txt
Top
Profilo Invia messaggio privato
nicbina
Mortale pio
Mortale pio


Registrato: 03/02/19 17:15
Messaggi: 22

MessaggioInviato: 06 Feb 2019 22:10    Oggetto: Rispondi citando

Sì esce ancora...ora vado su runonce e posto
Top
Profilo Invia messaggio privato
nicbina
Mortale pio
Mortale pio


Registrato: 03/02/19 17:15
Messaggi: 22

MessaggioInviato: 06 Feb 2019 22:13    Oggetto: Rispondi citando

Immagine3.png

Immagine4.png
Top
Profilo Invia messaggio privato
nicbina
Mortale pio
Mortale pio


Registrato: 03/02/19 17:15
Messaggi: 22

MessaggioInviato: 06 Feb 2019 22:14    Oggetto: Rispondi citando

R16 ha scritto:
Ciao Mary.
Non devi scusarti per l'intromissione, sei sempre bene accetta qui.
Citazione:
ma può essere possibile che poweshell si sia settato in automatico all'avvio di Windows, o come servizio?

Se lo fosse gli compariva anche prima di cliccare quel link che gli ha infettato il pc.
Quindi a mio parere, quello è un rimasuglio del virus rimasto.
Inoltre l'utente ha fatto dei tentativi di soluzione per conto proprio o aiutato da altre persone.
Infatti: Comodo, Troyan Remover e FRST son stati usati PRIMA della sua inscrizione in questo forum. Aveva anche i fixlist di FRST, quindi il pc è stato "bonificato" da altri, l'unico problema è che è rimasta quella chiave.
Devo solo trovare dove si trova.


sì confermo che cercando su vari forum ho tentanto coi vari programmi che hai scritto tu; fixlist l avevo trovato su un forum americano e l'ho fatto poco prima di scrivere in questo forum
Top
Profilo Invia messaggio privato
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 7719

MessaggioInviato: 07 Feb 2019 07:08    Oggetto: Rispondi citando

@nicbina
I fix sono creati per quell'utente, perché ogni pc è diverso, con software e problemi diversi. È molto azzardato usarne uno preso giù dal web.
@R16
In quelle chiavi non c'è nulla di strano...e lo so che è una cosa banale, ma se trattasi di chiave di registro orfana, usare CCleaner per pulire il registro? O è già stato usato, in 3 pagine di thread potrebbe essermi sfuggito...
Top
Profilo Invia messaggio privato
nicbina
Mortale pio
Mortale pio


Registrato: 03/02/19 17:15
Messaggi: 22

MessaggioInviato: 07 Feb 2019 07:40    Oggetto: Rispondi citando

No scusa non mi sono fatto capire io. Ho scaricato FRST e ho fatto scan e basta. Poi su questo forum ho postato il txt. Non ho inserito nessun fix
Si ho usatoccleaner
Top
Profilo Invia messaggio privato
dany79
Mortale pio
Mortale pio


Registrato: 13/12/13 19:17
Messaggi: 22
Residenza: Barchi (pu)

MessaggioInviato: 07 Feb 2019 08:22    Oggetto: Rispondi citando

Ciao e scusate se mi intrometto...

Se r16 è daccordo, prova con un avvio pulito di windows per vedere se ti appare piu powershell....

avvio pulito di windows:
-sulla casella esegui digita:
msconfig
-dai invio

-nella scheda generale seleziona avvio selettivo e metti la spunta a :
carica servizi di sistema
carica elementi di avvio
-fai click su ok

Così facendo chiedi a Windows di caricare in avvio soltanto i programmi e i servizi che selezioni manualmente nelle schede Servizi e Avvio;

-Ora clicca sulla scheda Avvio (queste sono le applicazione che vengono eseguite all avvio)
-deseleziona tutto quello che non vuoi far partire all avvio ,pero tranne l'antivirus
-clicca su ok
-non riavviare il pc (clicca su esci senza riavviare)

-riapri msconfig
-clicca sulla scheda servizi
-metti la spunta a Nascondi tutti i servizi Microsoft (ATTENTO! Assicurati di selezionare questa casella!)
Come prossima mossa infatti andrai a deselezionare tutte le voci in questa lista. Se non avrai nascosto i servizi di Microsoft, deselezionerai anche le voci di Microsoft e ti ritroverai con un sistema instabile!
-a questo punto dopo aver nascosto i servizi microsoft, deseleziona tutti gli altri presenti in lista
-clicca su ok e applica

ora RIAVVIA il pc

Vedi se ci sono miglioramneti...

In modalita provvisoria ti appare???

In piu ,se è stato disinstallato Comodo, io eliminerei queste chiavi di registro, prima pero aspettare conferma di r16:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\0\File Groups\19\1]
"Filename"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\0\File Groups\19\1]
"DeviceName"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\0\HIPS\CmdLineParserApps\14]
"Name"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\1\File Groups\19\1]
"Filename"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\1\File Groups\19\1]
"DeviceName"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\1\HIPS\CmdLineParserApps\14]
"Name"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\2\File Groups\19\1]
"Filename"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\2\File Groups\19\1]
"DeviceName"="*\powershell.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\2\HIPS\CmdLineParserApps\14]
"Name"="*\powershell.exe"

Ciao
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9902

MessaggioInviato: 07 Feb 2019 18:31    Oggetto: Rispondi

Ciao nicbina.
Citazione:
Non ho inserito nessun fix

2019-02-03 16:03 - 2019-02-03 16:03 - 000002170 _____ C:\Users\Niccolò\Downloads\fixlist.txt
Nota la data di quando è stato eseguito il fixlist.
Il 3 febbraio 2019 alle ore 16,03.
A parte che io a quell'ora ero al lavoro, (niente a che fare con computer) la tua iscrizione su questo forum è stata fatta il 03 Feb 2019 17:20 .
Quindi quel fix non posso averlo scritto io.
Comunque non c'è nessun problema, lo sò benissimo che alle volte per risolvere un problema ci si può rivolgere a vari forum, ma ripeto : questo per me non è un fastidio.
Il mio vero problema è quello che voglio risolvere il tuo problema.

Per il momento prova a seguire il consiglio (alla lettera) di dany79 e cioè fare un avvio pulito di Windows.
Se il problema non si risolve, useremo le "cattive maniere".

@Mary.
Citazione:
ma se trattasi di chiave di registro orfana

Non è orfana è bella pimpante e attiva.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Vai a Precedente  1, 2, 3, 4, 5  Successivo
Pagina 3 di 5

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi