Remove From My Forums

rimuovere il virus ursnif

Domanda
0

Registrati per votare

come da titolo devo rimuovere il virus da una postazione nessun programma antivirus sembra rilevarlo (provato avast, malwarebites e kaspersky) ho scoperto che il programma ha creato delle cartelle all'interno di %APPDATA%\Roaming dopo averle rimosse il virus sembrerebbe disattivato ma all'avvio dell'utente e ogni tanto cerca di avviare con powershell gli script che ho eliminato e apre delle finestre di terminale vuote (wbem wmic.exe) cosa posso fare un installazione pulita vorrei evitarla e tenerla come ultima spiaggia se possibile

giovedì 12 dicembre 2019 10:18

Risposta

|

Citazione

Risposte

1

Registrati per votare
ciao zerouno,

oltre all'ottimo consiglio di Vincenzo, controlla che il virus non abbia creato delle operazioni pianificate

Solitamente crea delle operazioni pianificate che fanno comparire delle finestre di powershell o del prompt per qualche secondo

Lo puoi verificare digitando operazioni pianificate da start, elimina quelle anomale e non attendibili

fai sapere

Elvis
Alvise Cervellati - MVP Windows Expert-Consumer
- Proposto come risposta Alvise CMVP venerdì 13 dicembre 2019 22:26
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:59
venerdì 13 dicembre 2019 07:57

Risposta

|

Citazione
0

Registrati per votare
E' un malware aggressivo e molto pericoloso per la sicurezza/privacy del sistema.

Prova il software al punto 3 di questo Tutorial.

A mio parere la soluzione ottimale consiste nel ripristino della macchina alle impostazioni di fabbrica.

Saluti.
Vincenzo Di Russo
Microsoft® MVP Windows Insider - Internet Explorer, Windows & Security Expert - since 2003.
Moderator in the Microsoft Community and TechNet Forums
My Windows Insider MVP Profile
- Proposto come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:58
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:59
giovedì 12 dicembre 2019 17:27

Risposta

|

Citazione

Moderatore
0

Registrati per votare
EDIT--

ho risolto cancellando da %APPDATA%\Roaming le cartelle che venivano richiamate con le operazioni pianificate e poi ho eliminato le operazioni pianificate ce n'erano diverse tutte per l'utente infetto la situazione è normale e emsisoft indicato da Vincenzo non ha rilevato nulla di anomalo

Grazie per le indicazioni.

Rimane solo da capire perché i maggiori software antivirus non hanno rilevato nulla mentre il virus era in esecuzione e cercava di loggare le info dei browser
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:59
venerdì 13 dicembre 2019 16:48

Risposta

|

Citazione

Tutte le risposte

0

Registrati per votare
E' un malware aggressivo e molto pericoloso per la sicurezza/privacy del sistema.

Prova il software al punto 3 di questo Tutorial.

A mio parere la soluzione ottimale consiste nel ripristino della macchina alle impostazioni di fabbrica.

Saluti.
Vincenzo Di Russo
Microsoft® MVP Windows Insider - Internet Explorer, Windows & Security Expert - since 2003.
Moderator in the Microsoft Community and TechNet Forums
My Windows Insider MVP Profile
- Proposto come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:58
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:59
giovedì 12 dicembre 2019 17:27

Risposta

|

Citazione

Moderatore
1

Registrati per votare
ciao zerouno,

oltre all'ottimo consiglio di Vincenzo, controlla che il virus non abbia creato delle operazioni pianificate

Solitamente crea delle operazioni pianificate che fanno comparire delle finestre di powershell o del prompt per qualche secondo

Lo puoi verificare digitando operazioni pianificate da start, elimina quelle anomale e non attendibili

fai sapere

Elvis
Alvise Cervellati - MVP Windows Expert-Consumer
- Proposto come risposta Alvise CMVP venerdì 13 dicembre 2019 22:26
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:59
venerdì 13 dicembre 2019 07:57

Risposta

|

Citazione
0

Registrati per votare
EDIT--

ho risolto cancellando da %APPDATA%\Roaming le cartelle che venivano richiamate con le operazioni pianificate e poi ho eliminato le operazioni pianificate ce n'erano diverse tutte per l'utente infetto la situazione è normale e emsisoft indicato da Vincenzo non ha rilevato nulla di anomalo

Grazie per le indicazioni.

Rimane solo da capire perché i maggiori software antivirus non hanno rilevato nulla mentre il virus era in esecuzione e cercava di loggare le info dei browser
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:59
venerdì 13 dicembre 2019 16:48

Risposta

|

Citazione
0

Registrati per votare
perchè vengono usate tecniche di camuffamento e purtroppo, come vedi, sono efficaci

conoscendo il tipo di malware si può intervenire manualmente, ti consiglio comunque di eseguire ulteriori scansioni al sistema in provvisoria con rete magari usando hitman pro di sophos, malwarebytes adw cleaner e da una ripulita ai file temporanei

puoi usare anche questo tool symantec

https://us.norton.com/support/tools/overview.html?lcid=1033

attenzione che ci sono diverse campagne malevole in corso che lo veicolano

Rilevate due campagne SPAM malevole attive in Italia

Alvise Cervellati - MVP Windows Expert-Consumer
- Proposto come risposta Alvise CMVP venerdì 13 dicembre 2019 22:26
- Proposta come risposta annullata Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:59
venerdì 13 dicembre 2019 16:58

Risposta

|

Citazione
0

Registrati per votare

Già eseguiti malwarebites, adwcleaner e anche avast senza avvio del sistema ho provveduto inoltre a reimpostare i browser alle impostazioni di fabbrica e ho costretto gli utenti a usare avast secure browser in modalità banca almeno per le operazioni negli istituti di credito.

Infatti presumo sia arrivato via mail con un allegato .xlsx con macro che ovviamente l'utente ha pensato di aprire nonostante gli avvertimenti di Excel sulle macro.

Grazie di tutto.

Luigi Perin

venerdì 13 dicembre 2019 17:12

Risposta

|

Citazione
0

Registrati per votare

bene

contento che hai risolto

Alla prossima

Elvis
Alvise Cervellati - MVP Windows Expert-Consumer

venerdì 13 dicembre 2019 22:26

Risposta

|

Citazione

Registrati per votare

...

Infatti presumo sia arrivato via mail con un allegato .xlsx con macro che ovviamente l'utente ha pensato di aprire nonostante gli avvertimenti di Excel sulle macro.
...

Molto probabile, anzi certo, allegato excel...
https://blog.yoroi.company/research/ursnif-the-latest-evolution-of-the-most-popular-banking-malware/

Technical Analysis

Sha 256	34669dde1e33ec96147540433f60e90056d38df1e3bb952fdc600e979d74f690
Threat	Ursnif dropper
Descrizione Breve	Excel with macro
ssdeep	1536:hn1DN3aMePUKccCEW8yjJTdrBX/3t4k3hOdsylKlgryzc4bNhZFGzE+cL4LgldAK:hn1DN3aM+UKc

Table 2: information about Ursnif dropper

The most widespread infection vector observed were the macro enabled office documents, and this variant uses the same technique too. The malicious document looks like an invoice that requires enabling macros in order to proper view its contents.

Gastone Canali >http://www.armadillo.it

Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

Modificato GastoneCanali sabato 14 dicembre 2019 13:20

sabato 14 dicembre 2019 13:19

Prodotti

Resources

Solutions

Aggiornamenti

Valutazioni

Siti correlati

Formazione

Certificazioni

Ulteriori risorse

Per prodotto

Altri collegamenti

Non professionisti IT

Principale utente con più risposte

rimuovere il virus ursnif

Domanda

Risposte

Tutte le risposte

Technical Analysis