Rimuovere Shortcut Virus – RuntimeBroker .exe

Ho avuto modo di incontrare un virus molto simile (se non proprio lo stesso), non so dirti con certezza se il processo in questione richiedeva input dall’utente (la finestra UAC che ti è comparsa) perché il pc infetto mi è stato consegnato “a danno compiuto”, ma visto il comportamento del virus stesso è molto probabile che sia così.
Anche in questo caso il virus è stato preso in copisteria.
Si trattava di uno script in Python che avviava un eseguibile nominato “RuntimeBroker .exe” (nota lo spazio tra “Broker” e “.exe”). Anche in questo caso varie scansioni di antivirus non riuscivano ad individuarlo (anche a infezione conclamata).
Questo falso “Runtime Broker” rimaneva “in ascolto” in caso si inserisse una chiavetta e chiamava un processo legit di Windows per leggerne gli attributi (attrib.exe) e creare una shortcut nella chiavetta stessa con la sua etichetta di volume e la sua dimensione (ad esempio, “D:\\(16GB)” ). Oltre a questo: chiamava il comando “netsh” per raccogliere informazioni sulla rete locale e eventualmente stabilire una connessione TCP con un server esterno, e droppava uno script powershell nascosto nella chiavetta, che presumo venisse eseguito nel momento in cui la chiavetta veniva collegata ad un computer.

Come suggerito da altri, se vuoi andare sul sicuro e non rischiare di lasciare residui, ovviamente è meglio formattare tutto.

Tuttavia, se si tratta dello stesso virus che ho incontrato io e se sai smanettarci un pochino, il processo incriminato (il falso Runtime Broker) era facilmente individuabile tramite ProcessExplorer (tool Sysinternals) in quanto non era un processo figlio diretto di svchost.exe (come il processo legit di Windows RuntimeBroker.exe) ma un processo separato, e perché faceva quelle chiamate inusuali ai processi “attrib.exe” e “netsh” (avviati e killati dopo pochi secondi, sembrava un albero di Natale). La firma del processo risulta essere “Microsoft Corporation” ma non si tratta di una firma verificata (puoi controllare questo sempre da ProcessExplorer, tramite l’opzione “Verify Images Signatures”).
Da ProcessExplorer ho trovato il percorso del finto processo e utilizzando “Autoruns” (sempre un tool Sysinternals) ho visto che il falso “RuntimeBroker .exe” aveva impostato uno scheduled task per avviarsi automaticamente.
Per “ripulire” il tutto ho avviato il pc in modalità provvisoria, cancellato tutta la directory relativa al finto Runtime Broker e anche le librerie di Python (al proprietario del pc non servivano e neanche sapeva di avercele installate).

Ho eliminato anche la cartella WinSoft in C:\Program Files (x86) e la scansione di Malwarebytes non ha rilevato minacce di alcun tipo.

(Apri una finestra di Powershell con privilegi elevati, ad esempio esegui Powershell Prompt come amministratore.

Nella casella di ricerca sulla barra delle applicazioni, digitare

powershell.exe 

fai clic sulla riga per “esegui come amministratore”

È meglio utilizzare Windows Copia ( CTRL+ C ) e incolla ( CTRL+V ) per l’intera riga, così com’è
In quel prompt di Powershell, copia e incolla questo comando

Remove-Item -Path "C:\Program Files (x86)\WinSoft Update Service" -recurse -force 

premi il tasto Invio sulla tastiera e guarda e annota il risultato.
vorrei sapere il risultato. Mi aspetto che svolga il compito di rimuovere quella cartella specifica e tutte le sue sottocartelle.
Chiudi le finestre di PowerShell al termine.)

La chiavetta l’ho analizzata su un pc con Linux, dove ho trovato lo script in powershell e tutto il resto, l’ho formattata da li: formattarla dal pc infetto sarebbe stato inutile (quel fake RuntimeBroker è sempre in esecuzione) e formattarla da un pc non infetto avrebbe esposto quest’ultimo al rischio di infezione. Nel mio caso la pennetta conteneva dei documenti non importanti pertanto il proprietario mi ha permesso di cancellare tutto, ma se i file sono ancora presenti dovresti poter riuscire a recuperarli accedendovi tramite Linux.
Ovviamente potrebbe assolutamente trattarsi di un virus diverso e con comportamenti differenti, con diversi meccanismi di persistenza e quant’altro. Come già detto prima e da altri, per stare veramente sicuri sarebbe meglio formattare sia pc che chiavetta (idealmente questa tramite Linux). Spero comunque possa essere stato d’aiuto.

KB5005573 – Errore 0x00000011b – Stampa USB Rete

Sui server Windows Server 2016, KB5005573 causa in modo casuale l’errore di stampa 0x00000011b sui computer.

A partire dal 17/09/2021, la soluzione consiste nel disinstallare questo aggiornamento sui server di stampa. In caso di utilizzo di WSUS, anche l’aggiornamento dovrebbe essere deprecato.

Edit 1: un’altra soluzione alternativa consiste nel modificare il valore della chiave di registro HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Print \ RpcAuthnLevelPrivacyEnabled sul valore 0 (REG_DWORD) .

La chiave di registro deve essere applicata sui server di stampa e sui computer client.

Edit 2 (21/09/2021): Per non dover disinstallare gli aggiornamenti, la soluzione migliore è configurare correttamente i parametri di stampa in modo sicuro: PrintNightmare: configurazione sicura della stampa (EN). Prima di mettere in produzione questa configurazione, dovresti testarla nel tuo ambiente.

1) apri il registro di sistema con il comando regedit

2) portati alla chiave di questo percorso: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

3 in questo percorso crea un nuovo Valore DWORD (32bit) e chiamalo: RpcAuthnLevelPrivacyEnabled (rispetta maiuscole e minuscole ed attenzione a non mettere spazi alla fine del nome, in particolare se fai copia e incolla)

4) imposta il valore a “0”

Evitare di far disattivare hard disk e disco USB dopo pochi minuti

Per prevenire che l’Hard Disk esterno sia disattivato automaticamente e si metta a dormire in modalità sleep, cliccare l’icona della batteria nella barra delle applicazioni e selezionare Altre opzioni risparmio energia.
Se non c’è l’icona della batteria, andare sul Pannello di Controllo e cliccare sulle Opzioni di risparmio energia.
Nella finestra che si apre selezionare una delle combinazioni, magari quella bilanciata e cliccare su Modifica impostazioni combinazione e nella finestra successiva, premere su Cambia impostazioni avanzate risparmio energia.
A questo punto individuare la voce Disco rigido e premere sul + per trovare "disattiva disco rigido dopo" e mettere 0 per per disattivare completamente la disattivazione dell’hard disk principale.
Premere su Applica e poi su OK per uscire.
Per quanto riguarda i dischi esterni e le penne USB, per evitare che si disattivino automaticamente bisognerebbe, dalla stessa lista di impostazioni avanzate, le impostazioni USB disabilitando lasospensione selettiva.

Windows 10: Disattivare aggiornamento automatico

Su Windows 10 gli aggiornamenti Windows Update vengono scaricati e installati in automatico.

Ma è bene sapere che su Windows 10 Pro (ma non sull’edizione Home) è possibile disattivare gli aggiornamenti automatici ed essere avvisati quando ce ne sono di disponibili e dunque decidere se scaricarli e installarli sul computer o meno, proprio come accadeva su Windows 7 e 8 e in tutte le altre precedenti edizioni di Windows. Vediamo come procedere.

Per ottenere ciò si dovrà modificare il comportamento dei Windows Update agendo dall’Editor Criteri di gruppo locali.
1. Nella tastiera premere la combinazione die due tasti Windows+R per richiamare la finestra di dialogo "Esegui" e come nell’esempio sotto in figura:

Finestra Esegui comando gpedit

digitare e inviare il comando gpedit.msc per aprire l’Editor Criteri di gruppo locali.

Continua a Leggere