RISOLTO Possibile infezione?

Stato
Discussione chiusa ad ulteriori risposte.

NicolaIta

Nuovo Utente
Salve a tutti,

da qualche giorno se provo a far partire la scansione completa di Windows Defender dopo qualche minuto lo stesso crasha ed il PC rallenta fino a bloccarsi costringendomi ad un Power Off forzato.
Si ripete la stessa cosa se provo a farla Offline o in modalità provvisoria.

FIniti i tentativi con il software proprietario MS ho provato con RogueKiller ma anche questo ad un certo crashava.

A quel punto ho provato con le guide su vari siti ma a parte dei falsi positivi - che comunque ho eliminato - niente sembra essere cambiato.

Un ripristino di Windows ad una data precedente alla probabile infezione ha sbloccato la scansione di RogueKiller - che non trova nulla - ma rimane ancora il crash di Windows Defender.

Scrivo qua su questo forum giusto per "divulgazione" perché ovviamente alla fine la soluzione migliore credo che sarà un ripristino da 0 di Windows ma sarebbe "curioso" capire cosa di così potente possa addirittura impedire a tutti i software di riconoscere eventuali malware.
Anche con gli altri software c'erano dei punti - sempre nel controllo delle cartelle di sistema - dove sembrava incontrare "difficoltà" - rallentamenti - nell'esaminare i dati ma risultati sempre zero.

Software utilizzati:
Windows Defender (online e offline)
ESET OnLine scanner
RogueKiller
Strumento di rimozione malware per Microsoft Windows (MRST)
Malwarebytes
ADWCleaner
EmsiSoft Emergency Kit
TDSSKiller

Edit: Utilizzati anche
RKill
Farbar Services Scanner

Passati tutti anche in modalità provvisoria

Si accettano comunque suggerimenti prima di ripristinare il PC

SO:
Windows 10 Home
Utilizzo del PC prevalentemente ufficio

Grazie

Edit:
Proverò anche quelli della guida Ufficiale del forum
 
Ultima modifica:

danilo79

Utente Èlite
1,609
427
Hardware Utente
Ciao

nessun software ha finito la scansione??
hanno rilevato qualcosa??


-Scaricare Farbar Recovert Scan Tool (FRST) e salvarlo sul DESKTOP (è importante salvarlo sul desktop)..

http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Link alternativo http://www.techspot.com/downloads/6731-farbar-recovery-scan-tool.html

-Nota: è necessario eseguire la versione compatibile con il sistema (32 bit o 64 bit). Se non sei sicuro di quale versione si applica al tuo sistema, scarica entrambi e prova ad eseguirli. Solo uno di questi funzionerà sul tuo sistema, quella sarà la versione giusta.

-Se il tuo antivirus avvisa di FRST, accetta l'avviso o disattiva la sicurezza per consentire l'esecuzione di FRST. Non è malevolo o infetto in alcun modo ...E’ un programma legittimo…..

-Una nota importante: lo strumento FRST deve essere eseguito da un account con lo stato di amministratore.

- Fare doppio clic per eseguirlo. Quando lo strumento si apre, fare clic su Sì per la dichiarazione di non responsabilità. (Gli utenti di Windows 8/10 riceveranno una richiesta sulla protezione di Windows SmartScreen: fare clic su Altre informazioni ed Esegui).

-Assicurati che Addition.txt sia spuntato sotto "Scansioni opzionali"


1536852600159.png
<img src="https://forum.tomshw.it/attachments/1536852600159-png.309248/" data-url="" class="bbImage" data-zoom-target="1" alt="1536852600159.png" style="" />


-Premere il pulsante Scan per eseguire lo strumento ....

-Attendere che finisca e alla fine verranno creati due log (FRST.txt) e (Addition.txt) nella stessa directory in cui viene eseguito lo strumento (se si ha eseguito le istruzioni dovrebbero trovarsi sul Desktop).
-Allegarli nella prossima riposta..

-NOTA: questo programma non elimina ne modifica nulla del pc ma esegue una diagnosi accurata sullo stato del pc nell istante in cui viene eseguita la scansione…
Sarà un esperto a fornire uno script per delle eventuali correzioni da apportare se necessarie….


Prova ha vedere se qualche file di sistema è danneggiato e poi esegui uno scan disk per vedere se l hdd è integro:
Aprire un prompt dei comandi con privilegi elevati….
Fare clic su Start, digitare prompt dei comandi o cmd nella casella di ricerca , cliccare con il tasto destro del mouse sul prompt dei comandie quindi fare clic su Esegui come amministratore. Se viene chiesto di immettere una password di amministratore o di confermare, digitare la password o fare clic su Consenti.

Prompt di comando - Esegui come amministratore
<img src="https://msegceporticoprodassets.blob.core.windows.net/asset-blobs/4016695_en_3" data-url="https://msegceporticoprodassets.blob.core.windows.net/asset-blobs/4016695_en_3" class="bbImage" data-zoom-target="1" alt="Prompt di comando - Esegui come amministratore" style="" />


ora scrivi o copia seguito da invio:
DISM.exe /Online /Cleanup-image /Restorehealth

sempre da prompt con privilegi scrivi :
sfc /scannow

dimmi cosa ti rilascia quando ha finito di controllare i file...

per postare il report del sfc /scannow riaprire il prompt con privilegi e copiare la stringa:
findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfcdetails.txt"

sul desktop trovi il file con le correzzione effettuate, da postare:
sfcdetails.txt

per l hdd:
Riapri il Prompt dei comandi con privilegi di amministaratore, digita come da immagine il comando chkdsk /r/f rispettando gli spazi e non appena visualizzi il messaggio:

Impossibile bloccare l'unità corrente.
Impossibile eseguire il Chkdsk. Il volume è in uso da un un altro processo. Programmare il controllo di questo volume al riavvio successivo del sistema? (S/N)

Rispondi affermativamente digitando S e premi Invio, in questo modo sarà programmato il controllo del disco al prossimo riavvio…..riavvia e aspetta che finisca
Fai uno screen del risultato e postalo...

posta anche i log di frst...
 
Ultima modifica:

NicolaIta

Nuovo Utente
Alla fine era un rompiballe di KMS che pensavo di aver disattivato già un anno fa e che aveva deciso di ripresentarsi...

Era nascosto in %AppData% tra i file di Chrome

La cosa assurda è che con decine di anti (Virus, Malware, ADWare, ecc. ecc.) non sono riuscito a trovarlo. L'unico che mi aveva dato un indizio era Defender che crashava.

Per trovarlo ho fatto una copia dell'HD su uno esterno che non usavo e poi scansionandolo finalmente ho trovato la minaccia. Si vede che finché era attivo riusciva ad eludere il controllo dei vari programmi.

Nello specifico era localizzato in:
AppData\Local\Google\Chrome\User Data\Default\File System\009\t\00\0000000 (ed aveva una dimensione di oltre 1Gb)
-> Microsoft Toolkit 2.5.3.exe->(RarSfx)->Microsoft Toolkit by MASTERkreatif.exe->[SAResource]->[MSILRES:?.?.resources]

Seguito il percorso sono andato ad eliminarlo e con ulteriore scansione ho tolto le rimanenze del virus ed ora è tutto tranquillo. Anche Defender aveva ripreso a funzionare correttamente.

Nel dubbio ho comunque fatto un avvio pulito.

Grazie per il supporto spero che la mia esperienza possa tornare utile quando qualcuno ha dubbi...

Ciao
 
Stato
Discussione chiusa ad ulteriori risposte.

Entra

oppure Accedi utilizzando