none
rimuovere il virus ursnif RRS feed

  • Domanda

  • come da titolo devo rimuovere il virus da una postazione nessun programma antivirus sembra rilevarlo (provato avast, malwarebites e kaspersky) ho scoperto che il programma ha creato delle cartelle all'interno di %APPDATA%\Roaming dopo averle rimosse il virus sembrerebbe disattivato ma all'avvio dell'utente e ogni tanto cerca di avviare con powershell gli script che ho eliminato e apre delle finestre di terminale vuote (wbem wmic.exe) cosa posso fare un installazione pulita vorrei evitarla e tenerla come ultima spiaggia se possibile
    giovedì 12 dicembre 2019 10:18

Risposte

  • ciao zerouno,

    oltre all'ottimo consiglio di Vincenzo, controlla che il virus non abbia creato delle operazioni pianificate

    Solitamente crea delle operazioni pianificate che fanno comparire delle finestre di powershell o del prompt per qualche secondo

    Lo puoi verificare digitando operazioni pianificate da start, elimina quelle anomale e non attendibili

    fai sapere

    Elvis


    Alvise Cervellati - MVP Windows Expert-Consumer

    venerdì 13 dicembre 2019 07:57
  • E' un malware aggressivo e molto pericoloso per la sicurezza/privacy del sistema.

    Prova il software al punto 3 di questo Tutorial.

    A mio parere la soluzione ottimale consiste nel ripristino della macchina alle impostazioni di fabbrica.


    Saluti.

    Vincenzo Di Russo
    Microsoft® MVP Windows Insider - Internet Explorer, Windows & Security Expert - since 2003.
    Moderator in the Microsoft Community and TechNet Forums
    My Windows Insider MVP Profile

    giovedì 12 dicembre 2019 17:27
    Moderatore
  • EDIT-- 

    ho risolto cancellando da %APPDATA%\Roaming le cartelle che venivano richiamate con le operazioni pianificate e poi ho eliminato le operazioni pianificate ce n'erano diverse tutte per l'utente infetto la situazione è normale e emsisoft indicato da Vincenzo non ha rilevato nulla di anomalo

    Grazie per le indicazioni.

    Rimane solo da capire perché i maggiori software antivirus non hanno rilevato nulla mentre il virus era in esecuzione e cercava di loggare le info dei browser

    venerdì 13 dicembre 2019 16:48

Tutte le risposte

  • E' un malware aggressivo e molto pericoloso per la sicurezza/privacy del sistema.

    Prova il software al punto 3 di questo Tutorial.

    A mio parere la soluzione ottimale consiste nel ripristino della macchina alle impostazioni di fabbrica.


    Saluti.

    Vincenzo Di Russo
    Microsoft® MVP Windows Insider - Internet Explorer, Windows & Security Expert - since 2003.
    Moderator in the Microsoft Community and TechNet Forums
    My Windows Insider MVP Profile

    giovedì 12 dicembre 2019 17:27
    Moderatore
  • ciao zerouno,

    oltre all'ottimo consiglio di Vincenzo, controlla che il virus non abbia creato delle operazioni pianificate

    Solitamente crea delle operazioni pianificate che fanno comparire delle finestre di powershell o del prompt per qualche secondo

    Lo puoi verificare digitando operazioni pianificate da start, elimina quelle anomale e non attendibili

    fai sapere

    Elvis


    Alvise Cervellati - MVP Windows Expert-Consumer

    venerdì 13 dicembre 2019 07:57
  • EDIT-- 

    ho risolto cancellando da %APPDATA%\Roaming le cartelle che venivano richiamate con le operazioni pianificate e poi ho eliminato le operazioni pianificate ce n'erano diverse tutte per l'utente infetto la situazione è normale e emsisoft indicato da Vincenzo non ha rilevato nulla di anomalo

    Grazie per le indicazioni.

    Rimane solo da capire perché i maggiori software antivirus non hanno rilevato nulla mentre il virus era in esecuzione e cercava di loggare le info dei browser

    venerdì 13 dicembre 2019 16:48
  • perchè vengono usate tecniche di camuffamento e purtroppo, come vedi, sono efficaci

    conoscendo il tipo di malware si può intervenire manualmente, ti consiglio comunque di eseguire ulteriori scansioni al sistema in provvisoria con rete magari usando hitman pro di sophos, malwarebytes adw cleaner e da una ripulita ai file temporanei

    puoi usare anche questo tool symantec

    https://us.norton.com/support/tools/overview.html?lcid=1033

    attenzione che ci sono diverse campagne malevole in corso che lo veicolano

    Rilevate due campagne SPAM malevole attive in Italia


    Alvise Cervellati - MVP Windows Expert-Consumer

    venerdì 13 dicembre 2019 16:58
  • Già eseguiti malwarebites, adwcleaner e anche avast senza avvio del sistema ho provveduto inoltre a reimpostare i browser alle impostazioni di fabbrica e ho costretto gli utenti a usare avast secure browser in modalità banca almeno per le operazioni negli istituti di credito.

    Infatti presumo sia arrivato via mail con un allegato .xlsx con macro che ovviamente l'utente ha pensato di aprire nonostante gli avvertimenti di Excel sulle macro.

    Grazie di tutto.

    Luigi Perin

    venerdì 13 dicembre 2019 17:12
  • bene

    contento che hai risolto

    Alla prossima

    Elvis


    Alvise Cervellati - MVP Windows Expert-Consumer

    venerdì 13 dicembre 2019 22:26
  • ...

    Infatti presumo sia arrivato via mail con un allegato .xlsx con macro che ovviamente l'utente ha pensato di aprire nonostante gli avvertimenti di Excel sulle macro.

    ...

    Molto probabile, anzi certo, allegato excel...
    https://blog.yoroi.company/research/ursnif-the-latest-evolution-of-the-most-popular-banking-malware/

    Technical Analysis

    Sha 256 34669dde1e33ec96147540433f60e90056d38df1e3bb952fdc600e979d74f690
    Threat Ursnif dropper
    Descrizione Breve Excel with macro
    ssdeep 1536:hn1DN3aMePUKccCEW8yjJTdrBX/3t4k3hOdsylKlgryzc4bNhZFGzE+cL4LgldAK:hn1DN3aM+UKc

    Table 2: information about Ursnif dropper

    The most widespread infection vector observed were the macro enabled office documents, and this variant uses the same technique too. The malicious document looks like an invoice that requires enabling macros in order to proper view its contents.


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere



    sabato 14 dicembre 2019 13:19