Kernel d'avvio infetto

[VReality]

Si

Sono passati due anni e hai ancora questo problema?

Si purtroppo anche con un portatile nuovo che ha TPM e tutto di sicurezza moderna, a riprova che secondo me questo genere di falle di sicurezza non sono state risolte dai nuovi standard su bios/schede madri dei nuovi pc.
Allego dei files fatti dal cellulare di regole HyperV che nn riesco a cambiare,ho provato mettendo giù l'HyperV che si sarà infettato ma non si riesce.
È Windows Defender stesso l'Mpssvc mi sembra di aver capito,che viene aggirato da queste regole che lasciano tutto inbound aperto.
Difatto il firewall di Windows quindi è come se nn agisse perchè le regole create vanno a valle e nn sono efficaci.
Altre regole simili statiche si trovano solo nel registro di sistema non compaiono ovviamente nell'interfaccia grafica di Windows Defender Firewall.
Se serve allego anche quelle,devo solo ritrovarle con regedit.

 

[Eren88]

Ma se il computer è nuovo come è possibile che ha lo stesso "virus" dell'altro computer?
Tu poi parlavi di dati che secondo te si annidano nell'HDD, ma anche se fosse se Windows è pulito non c'è nulla che richiama quei dati, per cui sono semplicemente dei bit scritti sul disco che non possono fare niente dato che non sono dotati di vita propria.
Poi, sei sicuro di comprendere quello che hai visto nel Registro di sistema? Per me in realtà è tutto apposto e ti stai preoccupando inutilmente

 

[r3dl4nce]

Poi, sei sicuro di comprendere quello che hai visto nel Registro di sistema? Per me in realtà è tutto apposto e ti stai preoccupando inutilmente

Postare screenshot a caso senza comprenderli spesso fa fare brutta figura, volevo dirlo io all'utente, ma poi mi dicono che sono bastardo....

 

[VReality]

Ma a caso cosa?
Avete provato almeno a spiegare cosa significano quelle remoteaddress/remoteregistry open?
Non mi pare. State solamente dileggiando senza affrontare l'argomento che è hn bootkit che infetta i kernel di avvio e rende la macchina senza protezioni dal web.
--- i due messaggi sono stati uniti ---

Ma se il computer è nuovo come è possibile che ha lo stesso "virus" dell'altro

Perchè è la rete di casa sotto attacco. Purtroppo devo comprare un router/firewall cloud di sicurezza,fino ad allora col FrtizBox la linea è scoperta.

 

[Eren88]

E perché la rete sarebbe sotto attacco? Ma soprattutto perché dovrebbero fare un attacco del genere a te?
Poi, cosa hai fatto 2 anni fa per causare questo presunto problema?

 

[Moffetta88]

Fai una prova semplice semplice;
Prendi il pc, metti dentro un ssd nuovo, installa windows 11 e basta e vedi se hai quelle "regole".
Ma senza nemmeno abilitare hyperv.

 

[Eren88]

Per escludere ogni dubbio installa Windows senza mai collegarti alla rete di casa

 

[r3dl4nce]

Ma a caso cosa?

Hai notato che le uniche regole allow sono loopback su ip 127. ecc e la regola outbound è in block? Giusto per dire....

 

[VReality]

Per escludere ogni dubbio installa Windows senza mai collegarti alla rete di casa

Sempre fatto così,anche se windows 11 richiede installazione via internet.
Ma con windows 10 da DvD era lo stesso,già provato.
Stò pensando che forse l'unica soluzione sarebbe far ripulite la macchina infetta da una di quelle pennette di software house di protezione concepite apposta per casi del genere,ma non ho idea se esistono come si chiamano e dove trovarle.
--- i due messaggi sono stati uniti ---

Hai notato che le uniche regole allow sono loopback su ip 127. ecc e la regola outbound è in block? Giusto per dire....

Ci sono una marea di regole se entro in windows registry,che lasciano staticamente porte aperte in windows che non sono per servizi di Windows.
Potrei mandare screen se serve.

 

[Eren88]

Sempre fatto così,anche se windows 11 richiede installazione via internet.
Ma con windows 10 da DvD era lo stesso,già provato.
Stò pensando che forse l'unica soluzione sarebbe far ripulite la macchina infetta da una di quelle pennette di software house di protezione concepite apposta per casi del genere,ma non ho idea se esistono come si chiamano e dove trovarle.

Se hai fatto così allora non è fisicamente possobile che il "virus" sia passato da un computer all'altro. I computer sono macchine, non succedono queste magie. Poi, cosa hai fatto per causare questo problema?

 

[r3dl4nce]

Ci sono una marea di regole se entro in windows registry,che lasciano staticamente porte aperte in windows che non sono per servizi di Windows.
Potrei mandare screen se serve.

Regole impostare da programmi o che devono starci per il corretto funzionamento del sistema operativo.

In alternativa puoi passare a Linux e gestirti tutto come meglio credi, fino anche a "rompere" le funzionalità base. Windows cerca un po' di nascondere o non rendere facilmente accessibili certe configurazione che se vengono toccate da inesperti potrebbero fare casini

Già il fatto che parli del registry e poi menzioni regole di firewall... Che ok in ultima instanza nel caso del Windows defender sono memorizzate nel registry, ma non è da lì che si gestiscono..

 

[Modus Operandi]

Lungi da me cimentarmi nell'analizzare il registro di sistema, sono troppo ignorante per farlo, ma un'assurdità che stai dicendo è evidente anche ai meno esperti come me:

Ingredienti:
-Hardware nuovo
-Installazione offline di Windows 10 originale da un disco non infetto creato da una macchina pulita o acquistato nuovo.
-PC mai collegato alla rete o ad altro hardware possibilmente infetto.

Risultato:
PC portatile con lo stesso virus del precedente computer??

È letteralmente impossibile come ti hanno già detto, non è mica il Covid19 sto virus che gira nell'aria di casa tua e contagia i PC...

---

Che poi tolto ciò hai reale motivo di pensare che qualcuno tenga sotto attacco la tua rete internet da 2 anni e sia costantemente pronto a infettare qualsiasi dispositivi ci colleghi? E chi diavolo hai fatto arrabbiare Liam Neeson?

@VReality Porta pazienza non lo dico con cattiveria, ma mi sembra più tua paranoia infondata che altro, pure i centri assistenza ufficiali ti hanno detto che non ci siano stranezze nel tuo computer perché non ti fidi del parere di nessuno? Il mio consiglio è di analizzare la situazione obiettivamente senza chiuderti in questa visione a tunnel che percepisco da questa discussione.

Aggiungo che ho letto solo ora che ti lamenti di questo attacco hacker dal 2018 non dal 2021, sostanzialmente ci sarebbe qualcuno che tiene sotto scacco la tua rete (che potevi cambiare più volte nel giro di tutti questi anni) e tutti i dispositivi ad essa collegata da quasi 6 anni.

A questo punto altro che Liam Neeson e virus, mi sa che il tuo problema è altro... Mania di persecuzione

 

[VReality]

Questo forum ormai è diventato una presa per il culo e ha perso ogni credibilità e affidabilità nella risoluzione dei problemi.
Segnelerò la cosa agli amministratori perchè non è possibile aprire un post con tanto di screenshoot e illustrando il problema e invece di proporre possibili soluzioni arriva il fake di turno o il gira pollici leoncino fa tastiera a fare il gradasso e prendere anche in giro.
I bootkit e rootkit esistono,se la maggiorparte della gente li ignora per loro mera ignoranza non è un problema mio,ma farebbero meglio ad evitare di partecipare a forum come questo che il loro contributo costruttivo è 0.
Se sono attaccato sulla rete da anni è un affare mio,di cui sono consapevole e per il quale stò preparando prove per una denuncia alla polizia postale assieme al mio ISP,con il quale abbiamo constatato che il router di loro proprietà era stato hackerato tanto che l'hanno dovuto sostituire.
Gentilmente inviterei i moderatori a fare il loro dovere e cancellare gli interventi volti solo a dileggiare in quanto potrebbe trattarsi anche di fake di un troll.
L'unico dato di fatto è che fin ora nessuno mi ha proposto davvero una possibile soluzione a fermare la routine che compie il malware infettando i kernel all'avvio e qualsiasi cosa in Windows.
Potrei postare gli screen dei servizi di sicurezza base di Windows disattivati in servizi e che nn è possibile mai attivare neppure dal registro di sistema (health/medical/Defender real time etc)

Fai una prova semplice semplice;
Prendi il pc, metti dentro un ssd nuovo, installa windows 11 e basta e vedi se hai quelle "regole".
Ma senza nemmeno abilitare hyperv.

L'HyperV è inutile che provi a disattivarlo,te lo trovi già attivo ad ogni installazione e quelle regole che ho postato non vengono mai giù,ho provato con diversi metodi anche se disattivi Hyper-V

In teoria quando riscrivi il Bios dovrebbe essere debellato almeno a livello di Bios. Penso più ci sia qualche problema lato disco, come se ci fosse una parte del disco criptata che non riesci a formattare e nel momento in cui avvia qualsiasi tipologia di distribuzione e/o sistema si propaga anche nelle periferiche connesse. Ti conviene formattare completamente il disco usando una distribuzione di linux o creando una pendrive bootable magari anche tramite il programma di windows e quando avvi fai un installazione personalizzata e da li formatti tutto, elimini lo spazio allocato. Altrimenti, fai un avvio avanzato con una distro su una pendrive tramite terminale formatti il disco completamente.

Purtroppo infetta anche le live distro linux.
Crea regole tutte sue su linux che aggirano le regole firewall che imposti manualmente e il sistema in generale su distro come ubuntu lagga tantissimo anche su Pc nuovi e potenti.

 

[Skills07]

Io penso che qui si stia degenderando, gli utenti stanno cercando di darti una mano a risolvere i problema @VReality
Se il supporto che stai ricevendo "GRATUITAMENTE" dato che è un forum non ti basta, ti conviene prendere un PROFESSIONISTA a pagamento e farti risolvere il problema.

Giudicare il forum e poi utilizzare abbondantemente il tasto segnala solo perchè le risposte non ti piacciono mi fa pensare che non hai ben chiaro cosa sia un forum.

Se sei stato attaccato, denuncia tutto alla polizia postale e affidati a professionisti pagandoli per aiutarti a risolvere i tuoi problemi.

Cordialmente

 

[Air_]

Questo forum ormai è diventato una presa per il culo e ha perso ogni credibilità e affidabilità nella risoluzione dei problemi.
Segnelerò la cosa agli amministratori perchè non è possibile aprire un post con tanto di screenshoot e illustrando il problema e invece di proporre possibili soluzioni arriva il fake di turno o il gira pollici leoncino fa tastiera a fare il gradasso e prendere anche in giro.
I bootkit e rootkit esistono,se la maggiorparte della gente li ignora per loro mera ignoranza non è un problema mio,ma farebbero meglio ad evitare di partecipare a forum come questo che il loro contributo costruttivo è 0.
Se sono attaccato sulla rete da anni è un affare mio,di cui sono consapevole e per il quale stò preparando prove per una denuncia alla polizia postale assieme al mio ISP,con il quale abbiamo constatato che il router di loro proprietà era stato hackerato tanto che l'hanno dovuto sostituire.
Gentilmente inviterei i moderatori a fare il loro dovere e cancellare gli interventi volti solo a dileggiare in quanto potrebbe trattarsi anche di fake di un troll.
L'unico dato di fatto è che fin ora nessuno mi ha proposto davvero una possibile soluzione a fermare la routine che compie il malware infettando i kernel all'avvio e qualsiasi cosa in Windows.
Potrei postare gli screen dei servizi di sicurezza base di Windows disattivati in servizi e che nn è possibile mai attivare neppure dal registro di sistema (health/medical/Defender real time etc)
--- i due messaggi sono stati uniti ---

L'HyperV è inutile che provi a disattivarlo,te lo trovi già attivo ad ogni installazione e quelle regole che ho postato non vengono mai giù,ho provato con diversi metodi anche se disattivi Hyper-V
--- i due messaggi sono stati uniti ---

Purtroppo infetta anche le live distro linux.
Crea regole tutte sue su linux che aggirano le regole firewall che imposti manualmente e il sistema in generale su distro come ubuntu lagga tantissimo anche su Pc nuovi e potenti.

Se hai comprato un nuovo pc, letteralmente pulito e non lo hai collegato sulla rete di casa signifia che é letteramente impossibile che tu abbia preso lo stesso virus.

Tra le altre cose, stiamo parlando dello stesso virus che dovrebbe essere insediato da te dal 2018, quindi un virus che si é auto aggiornato agli standard nuovi di sicurezza e per aggiunta si é anche uniformato ai nuovi bug presenti a livello hardware di un nuovo pc appena comprato.
È letteralmente una roba impossibile da fantascienza.

Qui l'entità del problema é un altro:
O non ci stai dicendo qualcosa, qualche tipo di esperimento o qualche operazione che continui a fare oppure si, sei entrato un loop in cui vedi problemi dove non ci sono.

Tra le altre cose, i bootkit, i rootkit, per essere installati sono processi complicati, molto spesso richiedono azione manuale quindi azioni di concessione di determinati permessi dall'utente, non mi sembri un utente con poca attenzione per cui stai facendo qualche altro tipo di lavoro.

Anche se la tua linea di casa fosse sotto attacco, cosa altamente difficile essendo tu un privato dato che cambi continuamente IP al solo riavvio del modem, dovrebbero avere una backdoor da qualche parte nel tuo sistema, bypassare ogni volta i controlli standard di un modem ed eseguire codice malevolo di un certo tipo da remoto. È una roba molto complessa, un lavoro del genere lo si fa solo per determinati scopi molto spesso economici o in ambienti di alto rischio come esercitazioni di pentester, ma parliamo di roba dove si fa a porte chiuse per aumentare la sicurezza, cioé queste non sono operazioni che si fanno verso i privati per nessun motivo.

Se tu stai sperimentando qualche cosa di qualche tipologia questo non possiamo saperlo, ma anche per me forse stai esagerando