Principale utente con più risposte
rimuovere il virus ursnif

Domanda
-
come da titolo devo rimuovere il virus da una postazione nessun programma antivirus sembra rilevarlo (provato avast, malwarebites e kaspersky) ho scoperto che il programma ha creato delle cartelle all'interno di %APPDATA%\Roaming dopo averle rimosse il virus sembrerebbe disattivato ma all'avvio dell'utente e ogni tanto cerca di avviare con powershell gli script che ho eliminato e apre delle finestre di terminale vuote (wbem wmic.exe) cosa posso fare un installazione pulita vorrei evitarla e tenerla come ultima spiaggia se possibile
Risposte
-
ciao zerouno,
oltre all'ottimo consiglio di Vincenzo, controlla che il virus non abbia creato delle operazioni pianificate
Solitamente crea delle operazioni pianificate che fanno comparire delle finestre di powershell o del prompt per qualche secondo
Lo puoi verificare digitando operazioni pianificate da start, elimina quelle anomale e non attendibili
fai sapere
Elvis
Alvise Cervellati - MVP Windows Expert-Consumer
- Proposto come risposta Alvise CMVP venerdì 13 dicembre 2019 22:26
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:59
-
E' un malware aggressivo e molto pericoloso per la sicurezza/privacy del sistema.
Prova il software al punto 3 di questo Tutorial.
A mio parere la soluzione ottimale consiste nel ripristino della macchina alle impostazioni di fabbrica.
Saluti.Vincenzo Di Russo
Microsoft® MVP Windows Insider - Internet Explorer, Windows & Security Expert - since 2003.
Moderator in the Microsoft Community and TechNet Forums
My Windows Insider MVP Profile- Proposto come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:58
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:59
-
EDIT--
ho risolto cancellando da %APPDATA%\Roaming le cartelle che venivano richiamate con le operazioni pianificate e poi ho eliminato le operazioni pianificate ce n'erano diverse tutte per l'utente infetto la situazione è normale e emsisoft indicato da Vincenzo non ha rilevato nulla di anomalo
Grazie per le indicazioni.
Rimane solo da capire perché i maggiori software antivirus non hanno rilevato nulla mentre il virus era in esecuzione e cercava di loggare le info dei browser
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:59
Tutte le risposte
-
E' un malware aggressivo e molto pericoloso per la sicurezza/privacy del sistema.
Prova il software al punto 3 di questo Tutorial.
A mio parere la soluzione ottimale consiste nel ripristino della macchina alle impostazioni di fabbrica.
Saluti.Vincenzo Di Russo
Microsoft® MVP Windows Insider - Internet Explorer, Windows & Security Expert - since 2003.
Moderator in the Microsoft Community and TechNet Forums
My Windows Insider MVP Profile- Proposto come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:58
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:59
-
ciao zerouno,
oltre all'ottimo consiglio di Vincenzo, controlla che il virus non abbia creato delle operazioni pianificate
Solitamente crea delle operazioni pianificate che fanno comparire delle finestre di powershell o del prompt per qualche secondo
Lo puoi verificare digitando operazioni pianificate da start, elimina quelle anomale e non attendibili
fai sapere
Elvis
Alvise Cervellati - MVP Windows Expert-Consumer
- Proposto come risposta Alvise CMVP venerdì 13 dicembre 2019 22:26
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:59
-
EDIT--
ho risolto cancellando da %APPDATA%\Roaming le cartelle che venivano richiamate con le operazioni pianificate e poi ho eliminato le operazioni pianificate ce n'erano diverse tutte per l'utente infetto la situazione è normale e emsisoft indicato da Vincenzo non ha rilevato nulla di anomalo
Grazie per le indicazioni.
Rimane solo da capire perché i maggiori software antivirus non hanno rilevato nulla mentre il virus era in esecuzione e cercava di loggare le info dei browser
- Contrassegnato come risposta Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:59
-
perchè vengono usate tecniche di camuffamento e purtroppo, come vedi, sono efficaci
conoscendo il tipo di malware si può intervenire manualmente, ti consiglio comunque di eseguire ulteriori scansioni al sistema in provvisoria con rete magari usando hitman pro di sophos, malwarebytes adw cleaner e da una ripulita ai file temporanei
puoi usare anche questo tool symantec
https://us.norton.com/support/tools/overview.html?lcid=1033
attenzione che ci sono diverse campagne malevole in corso che lo veicolano
Rilevate due campagne SPAM malevole attive in Italia
Alvise Cervellati - MVP Windows Expert-Consumer
- Proposto come risposta Alvise CMVP venerdì 13 dicembre 2019 22:26
- Proposta come risposta annullata Edoardo BenussiMVP, Moderator lunedì 16 dicembre 2019 09:59
-
Già eseguiti malwarebites, adwcleaner e anche avast senza avvio del sistema ho provveduto inoltre a reimpostare i browser alle impostazioni di fabbrica e ho costretto gli utenti a usare avast secure browser in modalità banca almeno per le operazioni negli istituti di credito.
Infatti presumo sia arrivato via mail con un allegato .xlsx con macro che ovviamente l'utente ha pensato di aprire nonostante gli avvertimenti di Excel sulle macro.
Grazie di tutto.
Luigi Perin
-
-
...
Infatti presumo sia arrivato via mail con un allegato .xlsx con macro che ovviamente l'utente ha pensato di aprire nonostante gli avvertimenti di Excel sulle macro.
...
Molto probabile, anzi certo, allegato excel...
https://blog.yoroi.company/research/ursnif-the-latest-evolution-of-the-most-popular-banking-malware/Technical Analysis
Sha 256 34669dde1e33ec96147540433f60e90056d38df1e3bb952fdc600e979d74f690 Threat Ursnif dropper Descrizione Breve Excel with macro ssdeep 1536:hn1DN3aMePUKccCEW8yjJTdrBX/3t4k3hOdsylKlgryzc4bNhZFGzE+cL4LgldAK:hn1DN3aM+UKc Table 2: information about Ursnif dropper
The most widespread infection vector observed were the macro enabled office documents, and this variant uses the same technique too. The malicious document looks like an invoice that requires enabling macros in order to proper view its contents.
Gastone Canali >http://www.armadillo.it
Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere
- Modificato GastoneCanali sabato 14 dicembre 2019 13:20