Salve a tutti.
Non era mia intenzione scaricare tutto il problema su di voi per questo ho voluto fare prima una ricerca approfondita su internet ma ahimè, ho i miei limiti nelle conoscenze informatiche e per questo chiedo una vostra consulenza.
in pratica sono in possesso di progetti artistici miei e su internet ho un numero abbastanza numeroso di gente molto interessata a quello che faccio, ci si aspetterebbe un bel pò di meticolosità nella salvaguardia dei propri files e documenti, ma purtroppo credo che in passato sono stato terribilmente superficiale per quanto riguarda la sicurezza, per molto tempo ho navigato e lavorato con un computer che era lentissimo e spesso l'antivirus continuava a disattivarsi da solo, problemi di lentezza molto gravi, tutte cose che fino a qualche anno fa non mi preoccupavano affatto, finché non ci ho sbattuto la testa; durante una conversazione in chat non proprio piacevole qualcuno mi aveva fatto comprendere che riusciva a vedere ciò che facevo, e da allora vi lascio immaginare l'incubo che ho passato e di aver cambiato totalmente il modo di gestire la mia sicurezza informatica.
Ovviamente dopo l'accaduto ho formattato l'SSD principale che ospitava Windows 10 e l'ho reinstallato non solo non mantenendo alcun file ma formattandolo.
prima però ho fatto diversi scan con Malwarebytes, ed ha scoperto giusto qualche schifezza dentro ad alcuni vecchi archivi che neanche avevo mai estratto (ora sinceramente non so se questo possa essere stato un pericolo) ma ho fatto almeno una decina di scan con quasi tutti i tool antivirus free inclusi ovviamente quelli più famosi che vengono usate spesso nelle guide per le infezioni, e i risultati erano sempre quelli di un pc pulito.
Credevo che dopo il formattone avessi risolto, poi ieri ho notato che il mio hdd secondario, acquistato da 1 anno circa e dove dentro ho files di backup importanti per il mio lavoro, ha cominciato a fare dei rumori di accensione e spegnimento, simile a quello che si sente quando si "risveglia" da uno standby (tipo un phon per capelli si accende velocemente ma molto più lieve e sibilante) ed erano li stessi che mi assillavano oltre a tante altre stranezze, prima della formattazione.
Dunque non so se ci possa essere una correlazione ma ho digitato eventvwr e come nella precedente installazione di Windows ho trovato i medesimi messaggi di Logon, Special Logon ecc...
diciamo ogni mezzora circa si presentano avvolte anche meno, e ne saranno un centinaio, quindi è da escludere a priori che si tratti di un normale accesso fatto da me:
a quanto pare leggendo in rete, per quando riguarda l'evento 4624 sono riuscito a scoprire tramite un vecchio thread su un forum straniero:
il tipo di accesso "5" significa che "Un servizio è stato avviato da Gestione controllo servizi".
l'evento è stato generato dal C:\Windows\System32\services.exe Gestore controllo servizi, che è responsabile dell'esecuzione, del termine e dell'interazione con i servizi di sistema.
per il 4672 invece:
Il servizio di sistema in oggetto viene avviato con l'account "SYSTEM", che gli conferisce poteri sostanzialmente illimitati, il che provoca l'emissione di 4672 privilegi speciali assegnati al un nuovo processo
Il processo di accesso è contrassegnato come "advapi", il che significa che l'accesso era un accesso basato sul Web tramite il server Web IIS
E infine il tipo che dava queste info conclude con un terrificante:
"Se non si ospitano siti Web IIS e eventvwr ti segnala questi eventi ciò potrebbe significare che il computer è infetto.
(Riferendosi praticamente allo stesso identico evento di un utente che aveva avuto lo stesso problema.)
il problema ragazzi e che sono reduce di una formattazione, e come ho già detto l'ho sottoposto a qualsiasi tipo di test per riuscire a ricavarci qualcosa...e se davvero questi eventi dimostrano processi di natura maligna, e si presentano anche dopo una formattazione del disco, significa che qualcuno si è applicato con molta dedizione ad "hackerarmi"
e questo mi riporta ad un altra info che ho sempre trovato durante le mie ricerche a proposito di un tizio che aveva prima presentato lo stesso identico evento degli screen che vi ho mostrato (l'evento 4624), e poi dopo qualche giorno ha commentato ringraziando tutti per l'aiuto e asserendo che non avrebbero potuto risolvere comunque niente poiché grazie ad un esperto di informatica forense aveva scoperto che l'intera linea era stata compromessa che sono entrati wifi ed ha dovuto eseguire un RMA su tutte le parti del computer poiché è stato infettato da un rootkit BIOS basato su hardware non rilevabili da normali AV. ?
...praticamente gli stessi sospetti che ho io da molto tempo.
Riguardo invece l'Evento 5038 e guard64.dll sembra che si tratti di un problema che riguarda il mio antivirus Comodo Internet Security, ma sulla rete ci sono davvero poche info a riguardo e non riesco a capire sinceramente se fidarmi o meno...ad occhio direi che dalla descrizione del visualizzatore di eventi il controllo d'integrità non riconosce l'hash di questa dll e che potrebbe essere danneggiato a causa di una modifica non autorizzata...
e direi che anche questo non sembra nulla di buono e fa pensare ad una manomissione del sistema per aggirare l'antivirus...
Sinceramente non so più che pensare e come agire, e sono qui proprio per chiedere a qualcuno di voi se ha competenze in questo campo e se è capace di aiutarmi a risolvere questo problema o dilemma che mi sta stressando da non poco tempo.
Vi ringrazio tutti di cuore per la vostra attenzione, e aspetto con ansia un vostro riscontro!
?
Non era mia intenzione scaricare tutto il problema su di voi per questo ho voluto fare prima una ricerca approfondita su internet ma ahimè, ho i miei limiti nelle conoscenze informatiche e per questo chiedo una vostra consulenza.
in pratica sono in possesso di progetti artistici miei e su internet ho un numero abbastanza numeroso di gente molto interessata a quello che faccio, ci si aspetterebbe un bel pò di meticolosità nella salvaguardia dei propri files e documenti, ma purtroppo credo che in passato sono stato terribilmente superficiale per quanto riguarda la sicurezza, per molto tempo ho navigato e lavorato con un computer che era lentissimo e spesso l'antivirus continuava a disattivarsi da solo, problemi di lentezza molto gravi, tutte cose che fino a qualche anno fa non mi preoccupavano affatto, finché non ci ho sbattuto la testa; durante una conversazione in chat non proprio piacevole qualcuno mi aveva fatto comprendere che riusciva a vedere ciò che facevo, e da allora vi lascio immaginare l'incubo che ho passato e di aver cambiato totalmente il modo di gestire la mia sicurezza informatica.
Ovviamente dopo l'accaduto ho formattato l'SSD principale che ospitava Windows 10 e l'ho reinstallato non solo non mantenendo alcun file ma formattandolo.
prima però ho fatto diversi scan con Malwarebytes, ed ha scoperto giusto qualche schifezza dentro ad alcuni vecchi archivi che neanche avevo mai estratto (ora sinceramente non so se questo possa essere stato un pericolo) ma ho fatto almeno una decina di scan con quasi tutti i tool antivirus free inclusi ovviamente quelli più famosi che vengono usate spesso nelle guide per le infezioni, e i risultati erano sempre quelli di un pc pulito.
Credevo che dopo il formattone avessi risolto, poi ieri ho notato che il mio hdd secondario, acquistato da 1 anno circa e dove dentro ho files di backup importanti per il mio lavoro, ha cominciato a fare dei rumori di accensione e spegnimento, simile a quello che si sente quando si "risveglia" da uno standby (tipo un phon per capelli si accende velocemente ma molto più lieve e sibilante) ed erano li stessi che mi assillavano oltre a tante altre stranezze, prima della formattazione.
Dunque non so se ci possa essere una correlazione ma ho digitato eventvwr e come nella precedente installazione di Windows ho trovato i medesimi messaggi di Logon, Special Logon ecc...
diciamo ogni mezzora circa si presentano avvolte anche meno, e ne saranno un centinaio, quindi è da escludere a priori che si tratti di un normale accesso fatto da me:
il tipo di accesso "5" significa che "Un servizio è stato avviato da Gestione controllo servizi".
l'evento è stato generato dal C:\Windows\System32\services.exe Gestore controllo servizi, che è responsabile dell'esecuzione, del termine e dell'interazione con i servizi di sistema.
per il 4672 invece:
Il servizio di sistema in oggetto viene avviato con l'account "SYSTEM", che gli conferisce poteri sostanzialmente illimitati, il che provoca l'emissione di 4672 privilegi speciali assegnati al un nuovo processo
Il processo di accesso è contrassegnato come "advapi", il che significa che l'accesso era un accesso basato sul Web tramite il server Web IIS
E infine il tipo che dava queste info conclude con un terrificante:
"Se non si ospitano siti Web IIS e eventvwr ti segnala questi eventi ciò potrebbe significare che il computer è infetto.
(Riferendosi praticamente allo stesso identico evento di un utente che aveva avuto lo stesso problema.)
il problema ragazzi e che sono reduce di una formattazione, e come ho già detto l'ho sottoposto a qualsiasi tipo di test per riuscire a ricavarci qualcosa...e se davvero questi eventi dimostrano processi di natura maligna, e si presentano anche dopo una formattazione del disco, significa che qualcuno si è applicato con molta dedizione ad "hackerarmi"
e questo mi riporta ad un altra info che ho sempre trovato durante le mie ricerche a proposito di un tizio che aveva prima presentato lo stesso identico evento degli screen che vi ho mostrato (l'evento 4624), e poi dopo qualche giorno ha commentato ringraziando tutti per l'aiuto e asserendo che non avrebbero potuto risolvere comunque niente poiché grazie ad un esperto di informatica forense aveva scoperto che l'intera linea era stata compromessa che sono entrati wifi ed ha dovuto eseguire un RMA su tutte le parti del computer poiché è stato infettato da un rootkit BIOS basato su hardware non rilevabili da normali AV. ?
...praticamente gli stessi sospetti che ho io da molto tempo.
Riguardo invece l'Evento 5038 e guard64.dll sembra che si tratti di un problema che riguarda il mio antivirus Comodo Internet Security, ma sulla rete ci sono davvero poche info a riguardo e non riesco a capire sinceramente se fidarmi o meno...ad occhio direi che dalla descrizione del visualizzatore di eventi il controllo d'integrità non riconosce l'hash di questa dll e che potrebbe essere danneggiato a causa di una modifica non autorizzata...
e direi che anche questo non sembra nulla di buono e fa pensare ad una manomissione del sistema per aggirare l'antivirus...
Sinceramente non so più che pensare e come agire, e sono qui proprio per chiedere a qualcuno di voi se ha competenze in questo campo e se è capace di aiutarmi a risolvere questo problema o dilemma che mi sta stressando da non poco tempo.
Vi ringrazio tutti di cuore per la vostra attenzione, e aspetto con ansia un vostro riscontro!
?
Ultima modifica da un moderatore:
