Ultima modifica:
Salve a tutti sono nuovo qui, oltre a voler risolvere questi problemi, sto cominciando a trovare interesse per certi argomenti sulla sicurezza e questo posto mi sembra quello più adatto per scambiare opinioni risolvere problemi e sopratutto imparare!
Vi spiego il mio problema, in pratica sono in possesso di progetti artistici miei e su internet ho un numero abbastanza numeroso di gente molto interessata a quello che faccio, ci si aspetterebbe un bel pò di meticolosità nella salvaguardia dei propri files e documenti, ma purtroppo credo che in passato sono stato terribilmente superficiale per quanto riguarda la sicurezza, per molto tempo ho navigato e lavorato con un computer che era lentissimo e spesso l'antivirus continuava a disattivarsi da solo, problemi di lentezza molto gravi, tutte cose che fino a qualche anno fa non mi preoccupavano affatto, finché non ci ho sbattuto la testa; durante una conversazione in chat non proprio piacevole qualcuno mi aveva fatto comprendere che riusciva a vedere ciò che facevo, e da allora vi lascio immaginare l'incubo che ho passato e di aver cambiato totalmente il modo di gestire la mia sicurezza informatica.
Ovviamente dopo l'accaduto ho formattato l'SSD principale che ospitava Windows 10 e l'ho reinstallato non solo non mantenendo alcun file ma formattandolo.
prima però ho fatto diversi scan con Malwarebytes, ed ha scoperto giusto qualche schifezza dentro ad alcuni vecchi archivi che neanche avevo mai estratto (ora sinceramente non so se questo possa essere stato un pericolo) ma ho fatto almeno una decina di scan con quasi tutti i tool antivirus free inclusi ovviamente quelli più famosi che vengono usate spesso nelle guide per le infezioni, e i risultati erano sempre quelli di un pc pulito.
Credevo che dopo il formattone avessi risolto, poi ieri ho notato che il mio hdd secondario, acquistato da 1 anno circa e dove dentro ho files di backup importanti per il mio lavoro, ha cominciato a fare dei rumori di accensione e spegnimento, simile a quello che si sente quando si "risveglia" da uno standby (tipo un phon per capelli si accende velocemente ma molto più lieve e sibilante) ed erano li stessi che mi assillavano oltre a tante altre stranezze, prima della formattazione.
Dunque non so se ci possa essere una correlazione ma ho digitato eventvwr e come nella precedente installazione di Windows ho trovato i medesimi messaggi di Logon, Special Logon ecc...
diciamo ogni mezzora circa si presentano avvolte anche meno, e ne saranno un centinaio, quindi è da escludere a priori che si tratti di un normale accesso fatto da me:
Evento _4624 Logon_ "Generale":
Evento _4624 Logon_ "Dettagli":
Evento _4672 Special Logon_ "Generale"
Evento 4672 Special Logon "Dettagli":
Evento _5038 System Integrity_ "Generale":
Evento _5038 System Integrity_ "Dettagli":
a quanto pare leggendo in rete, per quando riguarda l'evento 4624 sono riuscito a scoprire tramite un vecchio thread su un forum straniero:
il tipo di accesso "5" significa che "Un servizio è stato avviato da Gestione controllo servizi".
l'evento è stato generato dal "C : \Windows\System32\services.exe" Gestore controllo servizi, che è responsabile dell'esecuzione, del termine e dell'interazione con i servizi di sistema.
per il 4672 invece:
Il servizio di sistema in oggetto viene avviato con l'account "SYSTEM", che gli conferisce poteri sostanzialmente illimitati, il che provoca l'emissione di 4672 privilegi speciali assegnati al un nuovo processo
Il processo di accesso è contrassegnato come "advapi", il che significa che l'accesso era un accesso basato sul Web tramite il server Web IIS
E infine il tipo che dava queste info conclude con uno spiacevole:
"Se non si ospitano siti Web IIS e eventvwr ti segnala questi eventi ciò potrebbe significare che il computer è infetto.
(Riferendosi praticamente allo stesso identico evento di un utente che aveva avuto lo stesso problema.)
il problema ragazzi e che sono reduce di una formattazione, e come ho già detto l'ho sottoposto a qualsiasi tipo di test per riuscire a ricavarci qualcosa...e se davvero questi eventi dimostrano processi di natura maligna, e si presentano anche dopo una formattazione del disco, significa che qualcuno si è applicato con molta dedizione ad "hackerarmi"
e questo mi riporta ad un altra info che ho sempre trovato durante le mie ricerche a proposito di un tizio che aveva prima presentato lo stesso identico evento degli screen che vi ho mostrato (l'evento 4624), e poi dopo qualche giorno ha commentato ringraziando tutti per l'aiuto e asserendo che non avrebbero potuto risolvere comunque niente poiché grazie ad un esperto di informatica forense aveva scoperto che l'intera linea era stata compromessa che sono entrati wifi ed ha dovuto eseguire un RMA su tutte le parti del computer poiché è stato infettato da un rootkit BIOS basato su hardware non rilevabili da normali AV.
...praticamente gli stessi sospetti che ho io da molto tempo.
Riguardo invece l'Evento 5038 e guard64.dll sembra che si tratti di un problema che riguarda il mio antivirus Comodo Internet Security, ma sulla rete ci sono davvero poche info a riguardo e non riesco a capire sinceramente se fidarmi o meno...ad occhio direi che dalla descrizione del visualizzatore di eventi il controllo d'integrità non riconosce l'hash di questa dll e che potrebbe essere danneggiato a causa di una modifica non autorizzata...
e direi che anche questo non sembra nulla di buono e fa pensare ad una manomissione del sistema per aggirare l'antivirus...
Sinceramente non so più che pensare e come agire, e sono qui proprio per chiedere a qualcuno di voi se può aiutarmi a comprendere meglio, a indagare e approfondire nel tentativo di risolvere questo problema o dilemma che sia.
Vi ringrazio tutti di cuore per la vostra attenzione, e aspetto con ansia un vostro riscontro!
Vi spiego il mio problema, in pratica sono in possesso di progetti artistici miei e su internet ho un numero abbastanza numeroso di gente molto interessata a quello che faccio, ci si aspetterebbe un bel pò di meticolosità nella salvaguardia dei propri files e documenti, ma purtroppo credo che in passato sono stato terribilmente superficiale per quanto riguarda la sicurezza, per molto tempo ho navigato e lavorato con un computer che era lentissimo e spesso l'antivirus continuava a disattivarsi da solo, problemi di lentezza molto gravi, tutte cose che fino a qualche anno fa non mi preoccupavano affatto, finché non ci ho sbattuto la testa; durante una conversazione in chat non proprio piacevole qualcuno mi aveva fatto comprendere che riusciva a vedere ciò che facevo, e da allora vi lascio immaginare l'incubo che ho passato e di aver cambiato totalmente il modo di gestire la mia sicurezza informatica.
Ovviamente dopo l'accaduto ho formattato l'SSD principale che ospitava Windows 10 e l'ho reinstallato non solo non mantenendo alcun file ma formattandolo.
prima però ho fatto diversi scan con Malwarebytes, ed ha scoperto giusto qualche schifezza dentro ad alcuni vecchi archivi che neanche avevo mai estratto (ora sinceramente non so se questo possa essere stato un pericolo) ma ho fatto almeno una decina di scan con quasi tutti i tool antivirus free inclusi ovviamente quelli più famosi che vengono usate spesso nelle guide per le infezioni, e i risultati erano sempre quelli di un pc pulito.
Credevo che dopo il formattone avessi risolto, poi ieri ho notato che il mio hdd secondario, acquistato da 1 anno circa e dove dentro ho files di backup importanti per il mio lavoro, ha cominciato a fare dei rumori di accensione e spegnimento, simile a quello che si sente quando si "risveglia" da uno standby (tipo un phon per capelli si accende velocemente ma molto più lieve e sibilante) ed erano li stessi che mi assillavano oltre a tante altre stranezze, prima della formattazione.
Dunque non so se ci possa essere una correlazione ma ho digitato eventvwr e come nella precedente installazione di Windows ho trovato i medesimi messaggi di Logon, Special Logon ecc...
diciamo ogni mezzora circa si presentano avvolte anche meno, e ne saranno un centinaio, quindi è da escludere a priori che si tratti di un normale accesso fatto da me:
Evento _4624 Logon_ "Generale":
Evento _4624 Logon_ "Dettagli":
Evento _4672 Special Logon_ "Generale"
Evento 4672 Special Logon "Dettagli":
Evento _5038 System Integrity_ "Generale":
a quanto pare leggendo in rete, per quando riguarda l'evento 4624 sono riuscito a scoprire tramite un vecchio thread su un forum straniero:
il tipo di accesso "5" significa che "Un servizio è stato avviato da Gestione controllo servizi".
l'evento è stato generato dal "C : \Windows\System32\services.exe" Gestore controllo servizi, che è responsabile dell'esecuzione, del termine e dell'interazione con i servizi di sistema.
per il 4672 invece:
Il servizio di sistema in oggetto viene avviato con l'account "SYSTEM", che gli conferisce poteri sostanzialmente illimitati, il che provoca l'emissione di 4672 privilegi speciali assegnati al un nuovo processo
Il processo di accesso è contrassegnato come "advapi", il che significa che l'accesso era un accesso basato sul Web tramite il server Web IIS
E infine il tipo che dava queste info conclude con uno spiacevole:
"Se non si ospitano siti Web IIS e eventvwr ti segnala questi eventi ciò potrebbe significare che il computer è infetto.
(Riferendosi praticamente allo stesso identico evento di un utente che aveva avuto lo stesso problema.)
il problema ragazzi e che sono reduce di una formattazione, e come ho già detto l'ho sottoposto a qualsiasi tipo di test per riuscire a ricavarci qualcosa...e se davvero questi eventi dimostrano processi di natura maligna, e si presentano anche dopo una formattazione del disco, significa che qualcuno si è applicato con molta dedizione ad "hackerarmi"
e questo mi riporta ad un altra info che ho sempre trovato durante le mie ricerche a proposito di un tizio che aveva prima presentato lo stesso identico evento degli screen che vi ho mostrato (l'evento 4624), e poi dopo qualche giorno ha commentato ringraziando tutti per l'aiuto e asserendo che non avrebbero potuto risolvere comunque niente poiché grazie ad un esperto di informatica forense aveva scoperto che l'intera linea era stata compromessa che sono entrati wifi ed ha dovuto eseguire un RMA su tutte le parti del computer poiché è stato infettato da un rootkit BIOS basato su hardware non rilevabili da normali AV.
...praticamente gli stessi sospetti che ho io da molto tempo.
Riguardo invece l'Evento 5038 e guard64.dll sembra che si tratti di un problema che riguarda il mio antivirus Comodo Internet Security, ma sulla rete ci sono davvero poche info a riguardo e non riesco a capire sinceramente se fidarmi o meno...ad occhio direi che dalla descrizione del visualizzatore di eventi il controllo d'integrità non riconosce l'hash di questa dll e che potrebbe essere danneggiato a causa di una modifica non autorizzata...
e direi che anche questo non sembra nulla di buono e fa pensare ad una manomissione del sistema per aggirare l'antivirus...
Sinceramente non so più che pensare e come agire, e sono qui proprio per chiedere a qualcuno di voi se può aiutarmi a comprendere meglio, a indagare e approfondire nel tentativo di risolvere questo problema o dilemma che sia.
Vi ringrazio tutti di cuore per la vostra attenzione, e aspetto con ansia un vostro riscontro!