Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Virus/Malware Powershell 1.0 .exe
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
nicbina
Mortale pio
Mortale pio


Registrato: 03/02/19 17:15
Messaggi: 22

MessaggioInviato: 07 Feb 2019 20:51    Oggetto: Rispondi citando

ho seguito il processo e riavviato ma è ricomparso. ora elimino le chiavi di registro
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9997

MessaggioInviato: 07 Feb 2019 22:04    Oggetto: Rispondi citando

Citazione:
ora elimino le chiavi di registro

Fai attenzione, un errore ti può costare caro.
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9997

MessaggioInviato: 07 Feb 2019 22:26    Oggetto: Rispondi citando

Scarica questo file sul desktop: (dove si trova FRST)
link
Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.

Fammi sapere domani se riscontri ancora il problema.
Ciao e buonanotte.
Top
Profilo Invia messaggio privato
nicbina
Mortale pio
Mortale pio


Registrato: 03/02/19 17:15
Messaggi: 22

MessaggioInviato: 07 Feb 2019 22:31    Oggetto: Rispondi citando

Immagine5.png


la chiave cmd agent non ce l'ho quindi non ne ho nessuna da cancellare.
ora scarico quello che mi hai detto tutto r16
continuo a ringraziarvi intanto, davvero.

ciao e buonanotte
Top
Profilo Invia messaggio privato
nicbina
Mortale pio
Mortale pio


Registrato: 03/02/19 17:15
Messaggi: 22

MessaggioInviato: 07 Feb 2019 22:40    Oggetto: Rispondi citando

R16 ha scritto:
Scarica questo file sul desktop: (dove si trova FRST)
link
Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.

Fammi sapere domani se riscontri ancora il problema.
Ciao e buonanotte.


fix o scan?
Top
Profilo Invia messaggio privato
dany79
Mortale pio
Mortale pio


Registrato: 13/12/13 19:17
Messaggi: 29
Residenza: Barchi (pu)

MessaggioInviato: 08 Feb 2019 07:22    Oggetto: Rispondi citando

Se è salvato come fixlist.txt devi cliccare fix...

Ciao
Top
Profilo Invia messaggio privato
nicbina
Mortale pio
Mortale pio


Registrato: 03/02/19 17:15
Messaggi: 22

MessaggioInviato: 08 Feb 2019 17:07    Oggetto: Rispondi citando

ho fatto quanto detto sopra. e sto usando il pc da mezz'oretta e non è ancora uscito powershell...speriamo bene Laughing

e l'utilizzo del disco non è più prossimo al 100%...
non voglio dirlo troppo forte per scaramanzia ma ce l'avete fatta.
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9997

MessaggioInviato: 08 Feb 2019 18:21    Oggetto: Rispondi citando

Ciao.
Citazione:
non voglio dirlo troppo forte per scaramanzia ma ce l'avete fatta.

Tranquillo, il problema è risolto.
In realtà una grossa mano me l'ha data dany79 che mi ha fatto notare in privato, una chiave nel log Addition.txt (FRST) che mi era sfuggita.
Quindi gran parte del merito è suo.

Segui queste ultime indicazioni:
Scarica Delfix sul desktop:
link
Metti la spunta solo sul tag "Remove disinfection tools"(dovrebbe essere selezionata di default)
Clicca "Run".
Aspetta pazientemente che vengano eseguite le eliminazioni .
Il report verrà salvato negli appunti e sul disco rigido (C:\DelFix.txt).

Questo tool serve per "ripulire" il pc dai software che abbiamo usato e si auto-disinstallerà quando ha finito la pulizia.
Ciao.
Top
Profilo Invia messaggio privato
nicbina
Mortale pio
Mortale pio


Registrato: 03/02/19 17:15
Messaggi: 22

MessaggioInviato: 08 Feb 2019 19:17    Oggetto: Rispondi citando

Faccio tutto tra stasera e domani.
Lo chiedo per curiosità...in parole semplici è spiegabile quello che faceva questo virus all’interno del Pc?

In ogni caso vi ringrazio davvero tanto. Per tutto L impegno e il tempo dedicato.
Top
Profilo Invia messaggio privato
dany79
Mortale pio
Mortale pio


Registrato: 13/12/13 19:17
Messaggi: 29
Residenza: Barchi (pu)

MessaggioInviato: 08 Feb 2019 20:10    Oggetto: Rispondi citando

Grazie r16....non cè di che...

Sai quanti aiuti mi hai dato te...
Sono ancora in debito....

Ciao e scusate l ot...
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9997

MessaggioInviato: 08 Feb 2019 20:40    Oggetto: Rispondi citando

nicbina ha scritto:
Citazione:
in parole semplici è spiegabile quello che faceva questo virus all’interno del Pc?

Difficile dirlo.....bisognerebbe vedere i log delle scansioni che hai fatto con Malwarebytes, Adwcleaner e Comodo, prima di iscriverti qui.
E' quasi sicuro che dette scansioni abbiano "ferito a morte" il virus, ma non lo hanno ammazzato del tutto.
Ha lasciato quella chiave (molto nascosta) che grossi danni non ne faceva, ma in compenso rompeva molto le scatole.
Goditi il pc e buona navigazione.
Ciao. Ciao
Top
Profilo Invia messaggio privato
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 8765

MessaggioInviato: 08 Feb 2019 23:11    Oggetto: Rispondi citando

In rete avevo letto che tramite powershell eseguiva comandi, dirottando il browser in siti dannosi.
Ma tu, nicbina, non hai visto che faceva, quando agiva indisturbato, prima delle scansioni?
Io ne ho seguiti di link, in macchina virtuale (Windows 7), da dentro Linux (o direttamente da Linux)...ma cose che mi abbiano stupito non ne ho viste, anzi, erano trabocchetti piuttosto banali, o pubblicità invasive.
Top
Profilo Invia messaggio privato
nicbina
Mortale pio
Mortale pio


Registrato: 03/02/19 17:15
Messaggi: 22

MessaggioInviato: 09 Feb 2019 02:12    Oggetto: Rispondi citando

Concordo completamente.È facilissimo dirlo a posteriori che non ho mai abboccato a queste cose...però per una serie di eventi sono stato davvero un idiota e ho cliccato su un file .rar (vi dico anche la verità, ossia due gg prima della mail corrotta mi era arrivata una bolletta cartacea sbagliata e poi mi è giunta la mail che si chiamava “errore Bolletta” che credevo fosse correlata. L ho aperta senza pensarci letteralmente da stupido e ho fatto il danno). Quindi sì è solo colpa mia senza scusanti.

Detto ciò il problema fondamentale era che ogni tanto si avviava powershell.exe, poteva durare diversi secondi o una frazione di secondo. Lasciavo sempre aperto task manager per terminarne L attività e comunque vedevo che la % della CPU era sempre su 85/95% e il pc era rallentato totalmente.
Top
Profilo Invia messaggio privato
R16
Moderatore Sicurezza
Moderatore Sicurezza


Registrato: 07/03/08 21:58
Messaggi: 9997

MessaggioInviato: 09 Feb 2019 13:14    Oggetto: Rispondi citando

@nicbina
Powershell si attivava ad ogni avvio del pc, e faceva partire questo virus:
C:\Users\Niccolò\AppData\Roaming\8870DC\PxsspGNG7Cq9qU6W2.ps1
Per scrupolo, clicca su Start e copia\incolla questo codice:
%appdata%
Ti porta direttamente alla cartella Roaming.
Controlla se all'interno della cartella trovi queste voci:
8870DC ( è una cartella )
PxsspGNG7Cq9qU6W2.ps1 è un file che si trova all'interno della cartella 8870DC )
Se le vedi, le elimini.
Se non vedi quelle voci, significa che sono state eliminate assieme alla chiave.
Top
Profilo Invia messaggio privato
Maary79
Moderatrice Sistemi Operativi e Software
Moderatrice Sistemi Operativi e Software


Registrato: 08/02/12 12:23
Messaggi: 8765

MessaggioInviato: 09 Feb 2019 16:44    Oggetto: Rispondi

nicbina ha scritto:
Concordo completamente.È facilissimo dirlo a posteriori che non ho mai abboccato a queste cose...però per una serie di eventi sono stato davvero un idiota e ho cliccato su un file .rar (vi dico anche la verità, ossia due gg prima della mail corrotta mi era arrivata una bolletta cartacea sbagliata e poi mi è giunta la mail che si chiamava “errore Bolletta” che credevo fosse correlata. L ho aperta senza pensarci letteralmente da stupido e ho fatto il danno). Quindi sì è solo colpa mia senza scusanti.

Detto ciò il problema fondamentale era che ogni tanto si avviava powershell.exe, poteva durare diversi secondi o una frazione di secondo. Lasciavo sempre aperto task manager per terminarne L attività e comunque vedevo che la % della CPU era sempre su 85/95% e il pc era rallentato totalmente.


Una serie di sfortunati eventi direi...o era destino che diventassi uno dei nostri nel forum!
Solitamente chi conosco io non segue link, ma ci da dentro ad istallare crack...
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Vai a Precedente  1, 2, 3  Successivo
Pagina 2 di 3

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi