Discussione Malware Ho portato il pc da un tecnico, mi ha messo un trojan?

Ordina per data Ordina commenti per reazioni
S

Scriptxx10

Utente Electrum
11 Giugno 2017
204
51
23
144
Ultima modifica:
Avevo dovuto portare per un paio di giorni il mio pc fisso da un tecnico per farmi dei lavori, che io non potevo fare e fin li tutto bene, ovviamente lui ha dovuto usare il mio pc, arrivo al sodo, in questi giorni ho sempre fatto scansioni complete con Malwarebytes e Avast e il pc era privo di virus, però prima ho fatto una scansione con HitmanPro (scanner secondario) e mi ha trovato dei file sospetti categorizzati Malware, la cartella in questione dove ho trovato un possibile trojan si chiama Rafx10 (qualcosa del genere) e il nome del trojan era "we.exe" non so se ha dato lui il nome cosi, oppure si chiama veramente, nel percorso C: \\Documenti\temp\local. comunque, sono andato su Virustotal e ho scansionato il file che era nella cartella di windows (ho windows tarocco) risultato? 33/66 Trojan, ora ditemi voi se sbaglio... potrebbe essere che i file di attivazione del win tarocco siano rilevati come trojan? perchè ha dovuto mettermi una nuova chiave di licenza win sua, quella di prima è stata cambiata, ho pensato che magari conoscendo gli antivirus che ho nel pc aveva messo il file con un crypter non fud, ma ud, mi sembra molto strano sinceramente che un file windows sia con 33 su 66 come trojan, prima di fare questa scansione facevo regolarmente anche 3 volte al giorno netstat -ano e non veniva assolutamente nulla di sospetto collegato a me, io comunque ho eliminato i file dal pc, se fosse un trojan e io ho eliminato i file il collegamento remoto si è bloccato giusto? se mi dite "Che motivo avrebbe di farti questo?" I motivi ci sono. per via della mia famiglia che vorrebbe vedere come uso il pc,
Possono esserci Trojan/backdoor invisibili a netstat -ano?
Voi avete un'idea su questa cosa? io non saprei che pensare... non solo mi da fastidio che magari mi ha messo un trojan, ma è la grande delusione che la mia famiglia sicuramente ha chiesto di tenermi controllato.
Vi chiedo un piccolo aiuto. perchè vorrei andare a fondo su questa cosa, conoscete un programma per controllare tutte le connessioni in entrata e uscita? cosi da tenere sotto controllo se è presente una connessione remota abusiva?
Avevo letto di Ids (intrusion detection system) può funzionare bene?
E oltre fare scansioni complete con Malwarebytes, avast, hitmanpro e netstat -ano esiste un metodo più completo per analizzare bene tutto il sistema e vedere se ci sono backdoor nascoste?
Scusate se ho scritto lungo, ma non so proprio a chi chiedere...
 
Allora, innanzi tutto come consigliato da @Arcadius prova a disinstallare tutti gli altri AV (tieniti gli installer in caso li rivolessi installare) e scansiona tutto con Kaspersky. Poi se vuoi vedere il traffico in entrata e uscita, Wireshark e traccia tutti i pacchetti, se vedi che qualcosa è reindirizzato altrove, sai per certo che c'è qualche processo in BG che forse potresti non volere. Sappi poi che probabilmente essendo un'attivazione non originale potrebbe venir identificata come Trojan anche se non lo è, o nei peggiori dei casi, se il tecnico che te l'ha installata è inesperto, potrebbe averla a sua volta scaricata da internet e non sapere nemmeno lui cosa sia (se effettivamente un Trojan, o solo un file riconosciuto tale). Probabilmente è la stessa casistica dei file di crack di vari software, che embeddano all'interno di una utility vera (codice di attivazione) un payload malevolo. Comunque, teoricamente ma non ne sono sicuro, non basta rimuovere l'installer, perché potrebbe aver creato una connessione ricorsiva ogni volta che accendi il PC. Ti conviene comunque analizzare il traffico di rete.
 
  • Mi piace
Reazioni: Scriptxx10
Bl4ckD0t ha detto:
Allora, innanzi tutto come consigliato da @Arcadius prova a disinstallare tutti gli altri AV (tieniti gli installer in caso li rivolessi installare) e scansiona tutto con Kaspersky. Poi se vuoi vedere il traffico in entrata e uscita, Wireshark e traccia tutti i pacchetti, se vedi che qualcosa è reindirizzato altrove, sai per certo che c'è qualche processo in BG che forse potresti non volere. Sappi poi che probabilmente essendo un'attivazione non originale potrebbe venir identificata come Trojan anche se non lo è, o nei peggiori dei casi, se il tecnico che te l'ha installata è inesperto, potrebbe averla a sua volta scaricata da internet e non sapere nemmeno lui cosa sia (se effettivamente un Trojan, o solo un file riconosciuto tale). Probabilmente è la stessa casistica dei file di crack di vari software, che embeddano all'interno di una utility vera (codice di attivazione) un payload malevolo. Comunque, teoricamente ma non ne sono sicuro, non basta rimuovere l'installer, perché potrebbe aver creato una connessione ricorsiva ogni volta che accendi il PC. Ti conviene comunque analizzare il traffico di rete.
Clicca per espandere...
Grazie, adesso sto provando con ESET e comunque mi ha trovato dei malware, provo a fare come hai detto tu e l'utente sopra disinstallando gli AV e utilizzando KA
 

DISCUSSIONI SIMILI

D
Discussione Domanda dubbio su attività insolite.
  • Chiuso
  • 21
  • 756
21
756
Sicurezza Informatica
ToPLayer
N
Discussione Come spacciare un C2 per una connessione normalissima, bypassando il firewall (social engineering - get pwned blue team)
  • Chiuso
  • 0
  • 316
0
316
Sicurezza Informatica
Netcat
N
Discussione Gli EXITFUNC, cosa sono, cosa fanno, come vanno usati in Metasploit
  • 0
  • 402
0
402
Pentesting e Ethical Hacking
Netcat
0
Discussione Ufficiale I migliori password manager per il 2024
  • In evidenza
  • 35
  • 3K
35
3K
Privacy Online e Anonimato
ne0h
M
Discussione Articolo Attacco ransomware a Postel società controllata da Poste Italiane del 15 Agosto 2023
  • Chiuso
  • 11
  • 1K
11
1K
Sicurezza Informatica
MRPants
Top Bottom
Indietro