Benvenuto nel forum del canale Youtube Gentiluomo Digitale.
Ti ricordiamo che la partecipazione a queste discussioni comporta l’implicita accettazione delle
N. B. Se dopo la registrazione non ti arrivasse la mail di conferma puoi effettuare comunque la procedura password smarrita per ricevere la mail che ti consentirà di impostarla ed accedere al forum.
Segnalazione malware dopo installazione pulita
Buonasera, prima di tutto mi scuso di non essere passato nella sezione presentazioni ma non so perché, anche loggato se provo a entrarci mi chiede di loggarmi di nuovo, cosa che in questa sezione invece non succede.
Ieri ho installato Windows 10 Pro su un vecchio computer Tarox con processore I5 qualcosa (ora non ce l'ho sotto mano e non ricordo di preciso). L'installazione è avvenuta da una chiavetta nuova preparata poche ore prima dal sito ufficiale microsoft, quindi si presume con la versione disponibile attualmente nella sezione download, su un ssd nuovo. Appena installato ho scaricato Process Explorer e wumt per gli aggiornamenti, che erano tanti. Sinceramente non ricordo se prima di iniziare gli aggiornamenti Virustotal ha segnalato qualcosa, so che mentre erano in corso (a parte l'indicazione dello stesso wumt da parte di un antivirus vietnamita che mi è stato detto è famoso per i falsi positivi) ho avuto la segnalazione del file SppExtComObj.exe da parte di Secureage, indicato come "malicious" e di Skypebridge.exe da parte di Cynet, anche questo "malicious qualcosa".
Al termine dell'installazione la segnalazione di SppExtComObj è sparita. A dire il vero non so se è sparita perché il processo non appare più o che. Quella di Skypebridge invece è rimasta.
Vorrei approfittare della vostra esperienza per chiedere due cose:
- la prima è come interpretare virustotal. Se su 70 antivirus uno segnala una positività cosa si deve fare, anche ammettendo che al 99% sia un falso positivo.
- la seconda: è possibile infettarsi durante una installazione da zero, anche solo connettendosi per scaricare i due programmi che ho indicato (da questo sito) e gli aggiornamenti?
Grazie.
Buonasera Emnuele.
Vediamo se ho capito bene:
- L'installazione è avvenuta da una chiavetta nuova preparata poche ore prima dal sito ufficiale microsoft.
- Come hai preparato la chiavetta usb con rufus o altro?
- la versione di windows è 32 o 64 bit? sei sicuro che era Pro e non magari Education?
- Virustotal ha segnalato qualcosa.
- Cosa hai fatto scanzionare a Virus Total? Wumt?
- ho avuto la segnalazione del file SppExtComObj.exe da parte di Secureage, indicato come "malicious" e di Skypebridge.exe da parte di Cynet, anche questo "malicious qualcosa".
- Hai installato cynet e securage?
Comunque credo che Quello di virus total sia un falso positivo e SppExtComObj.exe e Skypebridge.exe sono file corrotti del sistema operatio e non infetti.
Allora, grazie per la risposta intanto.
Ho scaricato dal sito microsoft Media Creation Tool e con quello ho creato la chiavetta per l'installazione.
Ho scaricato dalla sezione download di questo sito sia Wumt che Process Explorer. Non avevo antivirus a parte defender. Securage e Cynet hanno segnalato da Virustotal attraverso Process Explorer.
Si vede la mia risposta di ieri delle 20.51? Se mi collego senza log non la vedo, se mi loggo si.
È giusto così.
Rifai la chiavetta con Rufus e reinstalla il sistema ex novo.
Ieri prima della tua risposta avevo reinstallato da capo, però stavolta Windows 10 Home N 22h2.
Gli allarmi su quei due file non c'erano, in compenso se aprivo Outlook, il solito Secureage segnalava malicious il file Hxoutlook.exe
Oggi ho reinstallato lo stesso w10 home passando per rufus e mi da lo stesso risultato: HxOutlook.exe malicious.
Nel computer da cui scarico la iso di windows quel file quando apro outlook non è segnalato positivo da Secureage.
E' la prima volta che mi capitano tutti questi problemi, e si che ho installato parecchie volte windows.
Emanuele ciao,
andiamo per step al fine di capire e magari risolvere il problema.
Nel 2022 c'e stata un infezione virale proprio con il file che ti crea problemi. Il nome del file "virale" è "HXOUTLOOK.EXE-77B79871.pf" e ha il seguente SHA256: c86150231e7b09b33fc7728dac82b3eff3cd7b3651c4a5cc9185e24a85ca560d .
Dovresti calcolare il valore del file SHA256 installato sul tuo pc.
Ti allego la procedura per calcolarlo (faccio copia/incolla da un sito che consulto spesso):
SHA-256
Per calcolare il valore hash SHA256 di un file, aprire una finestra Windows Powershell e impostare il comando seguente. (Osservare che il nome del file deve essere scritto con apostrofo (') all'inizio e alla fine e deve contenere il percorso completo):
get-filehash -algorithm sha256 'Nomedelfile' | Format-List
Se il numero restituito nella finestra di powershell è DIVERSO da quello che ti ho scritto sopra direi che il tuo AV ti segnala un falso positivo.
Altra alternativa è quello di caricare il file su altri siti di verifica gratuita on line per i file sospetti.
Installo parecchi sistemi operativi oramai da anni e non mi è mai capitato di avere infezioni su installazioni da zero. Chiaramente il pc dove scarico le iso da Microsoft, la chiavetta utilizzata e Rufus sono tutti aggiornati e perfettamente puliti da infezioni di qualsiasi tipo.
Rimango a disposizione.
Cordialmente Mars
Grazie per la risposta.
Ho eseguito il controllo sui due computer. Sul mio, dove non è segnalato positivo, l'hash inizia con 9c4d8 ecc
sul computer in cui è segnalato positivo inizia con de99030 ecc.
Quindi dovrebbe essere un falso positivo di secureage?
Ma se è così, a cosa è dovuto? Prima di controllare su quel computer avevo installato tutti gli aggiornamenti, e oltre a W10 e Process Explorer non c'è installato ancora nient'altro.
Emanuele buonasera,
se SHA256 è diverso è plausibile pensare che sia un falso positivo del tuo AV.
Prova a scaricare Kaspersky Virus removal tools da qui: https://www.kaspersky.it/downloads , crea una usbkey e prova a scansionare il computer con problemi. Se Kaspershy non rileva nulla personalmente ritengo che sia un falso positivo, poi ... nessun AV è perfetto.
Rimango a disposizione.
Cordialmente Mars
