Rimuovere Shortcut Virus – RuntimeBroker .exe

Ho avuto modo di incontrare un virus molto simile (se non proprio lo stesso), non so dirti con certezza se il processo in questione richiedeva input dall’utente (la finestra UAC che ti è comparsa) perché il pc infetto mi è stato consegnato “a danno compiuto”, ma visto il comportamento del virus stesso è molto probabile che sia così.
Anche in questo caso il virus è stato preso in copisteria.
Si trattava di uno script in Python che avviava un eseguibile nominato “RuntimeBroker .exe” (nota lo spazio tra “Broker” e “.exe”). Anche in questo caso varie scansioni di antivirus non riuscivano ad individuarlo (anche a infezione conclamata).
Questo falso “Runtime Broker” rimaneva “in ascolto” in caso si inserisse una chiavetta e chiamava un processo legit di Windows per leggerne gli attributi (attrib.exe) e creare una shortcut nella chiavetta stessa con la sua etichetta di volume e la sua dimensione (ad esempio, “D:\\(16GB)” ). Oltre a questo: chiamava il comando “netsh” per raccogliere informazioni sulla rete locale e eventualmente stabilire una connessione TCP con un server esterno, e droppava uno script powershell nascosto nella chiavetta, che presumo venisse eseguito nel momento in cui la chiavetta veniva collegata ad un computer.

Come suggerito da altri, se vuoi andare sul sicuro e non rischiare di lasciare residui, ovviamente è meglio formattare tutto.

Tuttavia, se si tratta dello stesso virus che ho incontrato io e se sai smanettarci un pochino, il processo incriminato (il falso Runtime Broker) era facilmente individuabile tramite ProcessExplorer (tool Sysinternals) in quanto non era un processo figlio diretto di svchost.exe (come il processo legit di Windows RuntimeBroker.exe) ma un processo separato, e perché faceva quelle chiamate inusuali ai processi “attrib.exe” e “netsh” (avviati e killati dopo pochi secondi, sembrava un albero di Natale). La firma del processo risulta essere “Microsoft Corporation” ma non si tratta di una firma verificata (puoi controllare questo sempre da ProcessExplorer, tramite l’opzione “Verify Images Signatures”).
Da ProcessExplorer ho trovato il percorso del finto processo e utilizzando “Autoruns” (sempre un tool Sysinternals) ho visto che il falso “RuntimeBroker .exe” aveva impostato uno scheduled task per avviarsi automaticamente.
Per “ripulire” il tutto ho avviato il pc in modalità provvisoria, cancellato tutta la directory relativa al finto Runtime Broker e anche le librerie di Python (al proprietario del pc non servivano e neanche sapeva di avercele installate).

Ho eliminato anche la cartella WinSoft in C:\Program Files (x86) e la scansione di Malwarebytes non ha rilevato minacce di alcun tipo.

(Apri una finestra di Powershell con privilegi elevati, ad esempio esegui Powershell Prompt come amministratore.

Nella casella di ricerca sulla barra delle applicazioni, digitare

powershell.exe 

fai clic sulla riga per “esegui come amministratore”

È meglio utilizzare Windows Copia ( CTRL+ C ) e incolla ( CTRL+V ) per l’intera riga, così com’è
In quel prompt di Powershell, copia e incolla questo comando

Remove-Item -Path "C:\Program Files (x86)\WinSoft Update Service" -recurse -force 

premi il tasto Invio sulla tastiera e guarda e annota il risultato.
vorrei sapere il risultato. Mi aspetto che svolga il compito di rimuovere quella cartella specifica e tutte le sue sottocartelle.
Chiudi le finestre di PowerShell al termine.)

La chiavetta l’ho analizzata su un pc con Linux, dove ho trovato lo script in powershell e tutto il resto, l’ho formattata da li: formattarla dal pc infetto sarebbe stato inutile (quel fake RuntimeBroker è sempre in esecuzione) e formattarla da un pc non infetto avrebbe esposto quest’ultimo al rischio di infezione. Nel mio caso la pennetta conteneva dei documenti non importanti pertanto il proprietario mi ha permesso di cancellare tutto, ma se i file sono ancora presenti dovresti poter riuscire a recuperarli accedendovi tramite Linux.
Ovviamente potrebbe assolutamente trattarsi di un virus diverso e con comportamenti differenti, con diversi meccanismi di persistenza e quant’altro. Come già detto prima e da altri, per stare veramente sicuri sarebbe meglio formattare sia pc che chiavetta (idealmente questa tramite Linux). Spero comunque possa essere stato d’aiuto.

Come esportare e importare le password salvate in Google Chrome

Google Chrome può salvare le password per la maggior parte dei siti Web e dei servizi, semplificando l’accesso la volta successiva.

Se stai creando un database con le tue credenziali in un’applicazione di gestione delle password o se stai configurando un’altra istanza del browser, Google Chrome include un’opzione per esportare le password salvate in un file, che puoi quindi importare in un’altra applicazione, trasferire in un nuovo browser o scaricalo per sicurezza.

In questa guida imparerai i passaggi per esportare e importare le password in Google Chrome su Windows 10.

Come esportare le password in Chrome

Per esportare la password da Chrome, segui questi passaggi:

  1. Aperto Google Chrome.
  2. Clicca sul Personalizza e controlla (tre punti) nell’angolo in alto a destra.
  3. Clicca su impostazioni.
  4. Clicca su Tu e Google.
  5. Nella sezione “Completamento automatico”, seleziona il file Le password opzione.

6: Fai clic sul pulsante “Altre azioni” (tre punti) accanto a “Password salvate” e seleziona il file Esporta password opzione.

  1. Clicca sul Esporta password pulsante.
    Pulsante Esporta password
  2. Conferma la password del tuo account.
  3. Seleziona una cartella per salvare il file .csv file contenente le tue password.
  4. Clicca sul Salva pulsante.

Una volta completati i passaggi, otterrai un file .csv con tutte le password di Chrome salvate, che puoi aprire con Excel, importare in qualsiasi gestore di password che supporti il ​​formato di file .csv o l’installazione di un altro browser web. .

Come importare le password in Chrome

Oltre alla possibilità di esportare le password, il browser Web di Google include anche la possibilità di importare le password, ma è necessario abilitare manualmente l’opzione.

Abilita l’importazione delle password

Per abilitare l’opzione di importazione della password in Chrome, segui questi passaggi:

  1. Aperto Google Chrome.
  2. Digita il seguente percorso nella barra degli indirizzi e premi Entra:
    chrome://flags/#PasswordImport
  3. Utilizza il menu a discesa a destra e seleziona Abilitato.

KB5005573 – Errore 0x00000011b – Stampa USB Rete

Sui server Windows Server 2016, KB5005573 causa in modo casuale l’errore di stampa 0x00000011b sui computer.

A partire dal 17/09/2021, la soluzione consiste nel disinstallare questo aggiornamento sui server di stampa. In caso di utilizzo di WSUS, anche l’aggiornamento dovrebbe essere deprecato.

Edit 1: un’altra soluzione alternativa consiste nel modificare il valore della chiave di registro HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Print \ RpcAuthnLevelPrivacyEnabled sul valore 0 (REG_DWORD) .

La chiave di registro deve essere applicata sui server di stampa e sui computer client.

Edit 2 (21/09/2021): Per non dover disinstallare gli aggiornamenti, la soluzione migliore è configurare correttamente i parametri di stampa in modo sicuro: PrintNightmare: configurazione sicura della stampa (EN). Prima di mettere in produzione questa configurazione, dovresti testarla nel tuo ambiente.

1) apri il registro di sistema con il comando regedit

2) portati alla chiave di questo percorso: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print

3 in questo percorso crea un nuovo Valore DWORD (32bit) e chiamalo: RpcAuthnLevelPrivacyEnabled (rispetta maiuscole e minuscole ed attenzione a non mettere spazi alla fine del nome, in particolare se fai copia e incolla)

4) imposta il valore a “0”

Evitare di far disattivare hard disk e disco USB dopo pochi minuti

Per prevenire che l’Hard Disk esterno sia disattivato automaticamente e si metta a dormire in modalità sleep, cliccare l’icona della batteria nella barra delle applicazioni e selezionare Altre opzioni risparmio energia.
Se non c’è l’icona della batteria, andare sul Pannello di Controllo e cliccare sulle Opzioni di risparmio energia.
Nella finestra che si apre selezionare una delle combinazioni, magari quella bilanciata e cliccare su Modifica impostazioni combinazione e nella finestra successiva, premere su Cambia impostazioni avanzate risparmio energia.
A questo punto individuare la voce Disco rigido e premere sul + per trovare "disattiva disco rigido dopo" e mettere 0 per per disattivare completamente la disattivazione dell’hard disk principale.
Premere su Applica e poi su OK per uscire.
Per quanto riguarda i dischi esterni e le penne USB, per evitare che si disattivino automaticamente bisognerebbe, dalla stessa lista di impostazioni avanzate, le impostazioni USB disabilitando lasospensione selettiva.

Come aggiungere Facebook su WordPress

Come aggiungere il box di Facebook su WordPress

Il primo requisito da avere per aggiungere questo box è che abbiate già aperto la relativa pagina Facebook del vostro sito! ( Se per motivi particolari non avete ancora una pagina Facebook seguite questa guida: Come aprire una pagina Facebook ). Quindi la prima cosa da fare è di collegarvi alla pagina Facebook e copiare l’indirizzo URL in alto.

Dopodiché andiamo alla pagina ufficiale del Like Box di Facebook e incolliamo l’url che abbiamo appena preso, nel primo rettangolo disponibile, quello con scritto sopra Facebook Page URL, dopo alcuni istanti vedremo apparire sotto l’anteprima di come verrà il nostro BOX!

Continua a Leggere