Discussione Eventvwr mostra tantissimi accessi che non riconosco, e una presunta manomissione dell'antivirus

Giov4ns

Utente Iron
2 Ottobre 2020
3
0
5
Ultima modifica:
Salve a tutti sono nuovo qui, oltre a voler risolvere questi problemi, sto cominciando a trovare interesse per certi argomenti sulla sicurezza e questo posto mi sembra quello più adatto per scambiare opinioni risolvere problemi e sopratutto imparare!

Vi spiego il mio problema, in pratica sono in possesso di progetti artistici miei e su internet ho un numero abbastanza numeroso di gente molto interessata a quello che faccio, ci si aspetterebbe un bel pò di meticolosità nella salvaguardia dei propri files e documenti, ma purtroppo credo che in passato sono stato terribilmente superficiale per quanto riguarda la sicurezza, per molto tempo ho navigato e lavorato con un computer che era lentissimo e spesso l'antivirus continuava a disattivarsi da solo, problemi di lentezza molto gravi, tutte cose che fino a qualche anno fa non mi preoccupavano affatto, finché non ci ho sbattuto la testa; durante una conversazione in chat non proprio piacevole qualcuno mi aveva fatto comprendere che riusciva a vedere ciò che facevo, e da allora vi lascio immaginare l'incubo che ho passato e di aver cambiato totalmente il modo di gestire la mia sicurezza informatica.

Ovviamente dopo l'accaduto ho formattato l'SSD principale che ospitava Windows 10 e l'ho reinstallato non solo non mantenendo alcun file ma formattandolo.
prima però ho fatto diversi scan con Malwarebytes, ed ha scoperto giusto qualche schifezza dentro ad alcuni vecchi archivi che neanche avevo mai estratto (ora sinceramente non so se questo possa essere stato un pericolo) ma ho fatto almeno una decina di scan con quasi tutti i tool antivirus free inclusi ovviamente quelli più famosi che vengono usate spesso nelle guide per le infezioni, e i risultati erano sempre quelli di un pc pulito.

Credevo che dopo il formattone avessi risolto, poi ieri ho notato che il mio hdd secondario, acquistato da 1 anno circa e dove dentro ho files di backup importanti per il mio lavoro, ha cominciato a fare dei rumori di accensione e spegnimento, simile a quello che si sente quando si "risveglia" da uno standby (tipo un phon per capelli si accende velocemente ma molto più lieve e sibilante) ed erano li stessi che mi assillavano oltre a tante altre stranezze, prima della formattazione.
Dunque non so se ci possa essere una correlazione ma ho digitato eventvwr e come nella precedente installazione di Windows ho trovato i medesimi messaggi di Logon, Special Logon ecc...
diciamo ogni mezzora circa si presentano avvolte anche meno, e ne saranno un centinaio, quindi è da escludere a priori che si tratti di un normale accesso fatto da me:

Evento _4624 Logon_ "Generale":

4624 (Logon) Generale.jpg

Evento _4624 Logon_ "Dettagli":

4624 (Logon) dettagli.jpg

Evento _4672 Special Logon_ "Generale"

4672 (Special Logon) generale.jpg

Evento 4672 Special Logon "Dettagli":

4672 (Special Logon) dettagli.jpg

Evento _5038 System Integrity_ "Generale":

5038 (System Integrity) Generale.jpg
Evento _5038 System Integrity_ "Dettagli":

5038 (System Integrity) Dettagli.jpg





a quanto pare leggendo in rete, per quando riguarda l'evento 4624 sono riuscito a scoprire tramite un vecchio thread su un forum straniero:

il tipo di accesso "5" significa che "Un servizio è stato avviato da Gestione controllo servizi".
l'evento è stato generato dal "C : \Windows\System32\services.exe" Gestore controllo servizi, che è responsabile dell'esecuzione, del termine e dell'interazione con i servizi di sistema.

per il 4672 invece:


Il servizio di sistema in oggetto viene avviato con l'account "SYSTEM", che gli conferisce poteri sostanzialmente illimitati, il che provoca l'emissione di 4672 privilegi speciali assegnati al un nuovo processo



Il processo di accesso è contrassegnato come "advapi", il che significa che l'accesso era un accesso basato sul Web tramite il server Web IIS

E infine il tipo che dava queste info conclude con uno spiacevole:

"Se non si ospitano siti Web IIS e eventvwr ti segnala questi eventi ciò potrebbe significare che il computer è infetto.

(Riferendosi praticamente allo stesso identico evento di un utente che aveva avuto lo stesso problema.)

il problema ragazzi e che sono reduce di una formattazione, e come ho già detto l'ho sottoposto a qualsiasi tipo di test per riuscire a ricavarci qualcosa...e se davvero questi eventi dimostrano processi di natura maligna, e si presentano anche dopo una formattazione del disco, significa che qualcuno si è applicato con molta dedizione ad "hackerarmi"
e questo mi riporta ad un altra info che ho sempre trovato durante le mie ricerche a proposito di un tizio che aveva prima presentato lo stesso identico evento degli screen che vi ho mostrato (l'evento 4624), e poi dopo qualche giorno ha commentato ringraziando tutti per l'aiuto e asserendo che non avrebbero potuto risolvere comunque niente poiché grazie ad un esperto di informatica forense aveva scoperto che l'intera linea era stata compromessa che sono entrati wifi ed ha dovuto eseguire un RMA su tutte le parti del computer poiché è stato infettato da un rootkit BIOS basato su hardware non rilevabili da normali AV.

...praticamente gli stessi sospetti che ho io da molto tempo.

Riguardo invece l'Evento 5038 e guard64.dll sembra che si tratti di un problema che riguarda il mio antivirus Comodo Internet Security, ma sulla rete ci sono davvero poche info a riguardo e non riesco a capire sinceramente se fidarmi o meno...ad occhio direi che dalla descrizione del visualizzatore di eventi il controllo d'integrità non riconosce l'hash di questa dll e che potrebbe essere danneggiato a causa di una modifica non autorizzata...
e direi che anche questo non sembra nulla di buono e fa pensare ad una manomissione del sistema per aggirare l'antivirus...

Sinceramente non so più che pensare e come agire, e sono qui proprio per chiedere a qualcuno di voi se può aiutarmi a comprendere meglio, a indagare e approfondire nel tentativo di risolvere questo problema o dilemma che sia.

Vi ringrazio tutti di cuore per la vostra attenzione, e aspetto con ansia un vostro riscontro! 4624 (Logon) Generale.jpg 4624 (Logon) dettagli.jpg 4672 (Special Logon) generale.jpg 4672 (Special Logon) dettagli.jpg 5038 (System Integrity) Dettagli.jpg 5038 (System Integrity) Generale.jpg 5038 (System Integrity) Dettagli.jpg
 

JunkCoder

Moderatore
5 Giugno 2020
759
610
345
Ultima modifica:
Sono log normalissimi, "Logon" non indica strettamente un login remoto (dal Workgroup in LAN), qualunque servizio installato con privilegi elevati puo' dover essere costretto a "loggarsi" come SYSTEM per effettuare operazioni privilegiate.
Cosa diversa sarebbe se il nome computer che hai censurato "DESKTOP-*******" non corrispondesse al tuo locale.
Se hai Windows Home allora servizi come psexec non sono neanche presenti (al contrario della ver. Pro), per cui intrusioni da quel fronte non dovrebbero essercene. Se invece avessero usato exploit come l'ormai vecchio EternalBlue, non avresti visto alcun log nonostante l'intrusione, ma tranquillo, il tuo sistema ha sicuramente ricevuto la patch di sicurezza.

Avendo anch'io Comodo installato su una macchina posso dirti che i tuoi eventi sono identici ai miei.

PS: questo tipo di log e' piu' utile in un contesto aziendale oppure in quello di un Windows Server dove diversi utenti accedono con RDP o su un web server IIS. In contesto home invece puoi rilevare solo tentativi di movimento laterale o rari metodi di local privilege excalation. Le cose che dovresti guardare di piu' sono i malware che solitamente non lasciano eventi di quel genere. Occasionalmente potresti trovarli nel channel Application (soprattutto se da' errore o crasha anche se silenziosamente). Gli strumenti utili al rilevamento di malware pero' sono altri, ti linko una mia guida.
Per quanto riguarda il "rootkit BIOS" mi sa di boiata, se hai UEFI con un aggiornamento anche di qualche anno fa, a meno che tu non sia un capo di stato, nessuno riuscira' a flashare un update malevolo in quanto e' tutto controfirmato digitalmente dal produttore e verrebbe rifiutato. Invece a risvegliarti l'hdd possono essere tante cose, dal servizio di shadow copy a Windows Defender. Non puoi basarti sul rumore.
Queste ricerche sul web per numero di evento e' un po' come cercare i sintomi di una malattia su google e credere di avere chissa' cosa, te lo dico per esperienza, dopo una formattazione puoi stare tranquillo di non avere malware, quel genere di persistenza e' ormai di altri tempi, adesso e' solo prerogativa di avanzatissima tecnologia governativa.
 
  • Mi piace
Reactions: Giov4ns

Giov4ns

Utente Iron
2 Ottobre 2020
3
0
5
Ultima modifica:
Ti ringrazio vivamente JunkCoder, da quando è cominciato sto calvario è la prima volta che ricevo una risposta sensata e coerente :)
allora,per quanto riguarda il nome del computer posso confermare che in effetti risulta sempre lo stesso che equivale al mio, tranne che in alcuni dove viene seguito dal simbolo $ alla fine, quindi "DESKTOP-*******$"

purtroppo la mia maledetta memoria non è sempre prestante e non mi aiuta a ricordare il significato di quel simbolo "$" dopo i riconoscimenti, lo lessi da qualche parte, ma non riesco a ricordare.

del resto mi trovi daccordissimo sul fatto che se si fosse trattato di un hack mirato con l'account sotto mano non ci avrebbero messo molto a cancellare tutte queste tracce, si di questo ne ho sempre tenuto conto.

Visto che anche tu sei un felice (credo) possessore di Comodo (io sinceramente non sono riuscito a trovare nessun antivirus free che mi dia tanto)
ho notato sempre tramite registro eventi che quando si usa il container virtuale di Comodo su un programma, genera diversi logon da WindowsLive con account diversi dal mio

non riporerò l'intero contenuto per ogni evento ma solo gli ID diversi che vengono mostrati

WindowsLive : (token):name=02jxbrjxahxfxjmv;serviceuri=*


WindowsLive : (cert):name=02jxbrjxahxfxjmv;serviceuri=*


WindowsLive:target=virtualapp/didlogical


WindowsLive: (token):name=02jkxnqaidxxxtqt;serviceuri=*

WindowsLive: (cert):name=02jkxnqaidxxxtqt;serviceuri=*


WindowsLive:target=virtualapp/didlogical

e sono tutti di tipo "0"

Magari può sempre tornare utile come info! :)


Visto che siamo in argomento, potrei chiederti invece qualche dritta sulla gestione dell'utenza in windows riguardo un mio dubbio? Ho letto spesso in giro che per sicurezza è sempre meglio navigare come utente normale, io invece ho sempre mantenuto profili da amministratore, faccio male? cosa mi consigli?

Comunque massimo domani vorrei seguire al dettaglio la tua guida, sembra davvero interessante, se non ti dispiace nel caso trovassi qualcosa di anomalo ti renderò partecipe tramite questo thread. :)
 
Banner pubblicitario per Bright Data su Inforge.net azienda di vendita Proxy, Data Collector e Content Unlocker
Supporta Inforge con una donazione

JunkCoder

Moderatore
5 Giugno 2020
759
610
345
ho notato sempre tramite registro eventi che quando si usa il container virtuale di Comodo su un programma, genera diversi logon da WindowsLive con account diversi dal mio

non riporerò l'intero contenuto per ogni evento ma solo gli ID diversi che vengono mostrati

Quei log sono dovuti ai metodi del container di comodo che gioca con un virtual desktop e virtual user per rendere le modifiche dei programmi (potenzialmente malevoli) non persistenti.

Visto che siamo in argomento, potrei chiederti invece qualche dritta sulla gestione dell'utenza in windows riguardo un mio dubbio? Ho letto spesso in giro che per sicurezza è sempre meglio navigare come utente normale, io invece ho sempre mantenuto profili da amministratore, faccio male? cosa mi consigli?

Comunque massimo domani vorrei seguire al dettaglio la tua guida, sembra davvero interessante, se non ti dispiace nel caso trovassi qualcosa di anomalo ti renderò partecipe tramite questo thread. :)

Per l'utenza di Windows, anche se usi un account amministratore non sei cosi' vulnerabile finche' non disabiliti l'UAC. E' comunque piu' sicuro un account limitato si, ma in alcuni casi non fa differenza tipo per alcuni spyware o miner.
 
  • Mi piace
Reactions: Giov4ns